Michael Critchfield explique pourquoi l’accès à distance est souhaitable, quels peuvent être les pièges et comment s’assurer qu’il est sécurisé.
KNX Secure, qui comprend à la fois IP Secure et Data Secure, a préparé la norme KNX à des attentes et des réglementations plus importantes en matière de cybersécurité. KNX Secure prend en charge les normes de cryptage les plus sûres conformément à la norme ISO 18033-3, telles que le cryptage AES 128 CCM, afin de prévenir efficacement les attaques contre l’infrastructure numérique des bâtiments. Grâce à IP Secure, la communication IP entre les appareils KNX Secure est sécurisée en étendant le protocole IP de manière à ce que toutes les données échangées soient entièrement cryptées. Parallèlement, grâce à Data Secure, il protège les données des utilisateurs contre l’accès et la manipulation non autorisés au moyen du cryptage et de l’authentification.
Les installations KNX pourraient être protégées contre les attaques, et aujourd’hui, le choix d’appareils compatibles avec KNX Secure s’est considérablement élargi. Cependant, dans les installations KNX existantes, potentiellement sans KNX Secure, mais avec la commodité de l’accès à distance, il y a souvent une autre préoccupation urgente.
Accès à distance
L’accès à distance à votre installation KNX est un concept merveilleux, et ce n’est pas une idée nouvelle. Bien avant que les installations puissent bénéficier de KNX IP Secure, la demande était là pour permettre l’accès à une installation KNX depuis n’importe où dans le monde – une excellente idée, lorsqu’elle est bien faite.
Il y a plusieurs raisons pour lesquelles l’accès à distance est souhaitable. Tout d’abord, le changement de saison est normalement un moment clé pour effectuer des visites de maintenance, car certaines parties du système peuvent avoir été redondantes au cours des derniers mois. Bien qu’il y ait toujours des éléments d’un système qui nécessitent une inspection sur place, trouver des moyens de tester et de soutenir les systèmes à distance signifie plus de commodité pour les deux parties et une réduction des coûts de visite sur site. Deuxièmement, la surveillance à distance par l’intégrateur de systèmes peut aider à détecter tout problème et même à l’anticiper avant qu’il ne devienne un problème. Enfin, les utilisateurs peuvent rendre la maison confortable en prévision de leur retour imminent.
Ne pas laisser la porte d’entrée ouverte
Historiquement, dans certains cas, l’accès à distance était mis en œuvre en « ouvrant la porte d’entrée » pour ainsi dire, c’est-à-dire en utilisant une redirection de port non autorisée via le port 3671 sur le routeur du réseau – l’approche la plus simple et avec peu ou pas de coût initial supplémentaire.
Il est peu probable que les propriétaires d’un réseau sachent que leur routeur est configuré avec le port 3671 ouvert, et bien que cela permette au propriétaire d’avoir un accès à distance, à moins que des mesures supplémentaires ne soient prises, cela permettrait également à n’importe qui d’entrer, simplement en connaissant l’adresse IP de l’installation KNX. Ainsi, si le réseau était associé à une installation KNX, à moins que KNX IP Secure et Data Secure ne soient en place, les personnes mal intentionnées seraient en mesure d’accéder au routeur et potentiellement de contrôler et de suivre la communication du bus.
Les temps ont changé. Nous disposons de KNX Secure et nous savons qu’il ne suffit pas de transférer le port KNX 3671. Les options comprennent l’activation de KNX Secure, la mise en place de réseaux dédiés, de protocoles de pare-feu standard et d’un accès autorisé aux passerelles d’accès à distance, l’utilisation de VPN (réseaux privés virtuels), ou même la mise en place d’un mot de passe BCU (unité de couplage de bus) pour votre installation KNX en dernier recours.
Certes, cela demande un peu plus d’efforts au départ, mais vous vous en féliciterez à long terme.
Contrôle de sécurité KNX
L’Association KNX est constamment en mouvement, étendant la norme KNX et apportant des solutions meilleures et plus sûres sur le marché. En 2024, nous avons publié le Contrôle de sécurité KNX.
Avec cet outil, vous pouvez vérifier votre propre adresse IP actuelle pour un port 3671 ouvert. Cela ne prend que quelques secondes – et vous saurez si vous êtes en sécurité ou si vous devez agir maintenant.
Lorsque l’utilisateur le déclenche, l’outil de contrôle de sécurité envoie une demande de description KNXnet/IP au port 3671 de l’adresse IP actuelle de l’utilisateur. Idéalement, et dans la plupart des cas, la demande est ignorée par le routeur de l’utilisateur (timeout), ce qui signifie qu’une connexion ne peut pas être établie, qu’aucune installation KNX ne peut être trouvée et que l’utilisateur semble être en sécurité. Dans le pire des cas, cependant, un routeur configuré pour garder le port 3671 ouvert autorisera la demande de description KNXnet/IP à travers l’installation KNX, et son interface IP répondra avec son adresse MAC et le nom de l’appareil.
L’outil ne fait aucun mal, mais le résultat informera l’utilisateur que des mesures doivent être prises pour sécuriser l’installation KNX.
Conclusion
Lancer le Contrôle de sécurité KNX pour savoir si le port 3671 de votre routeur est ouvert. Si c’est le cas, l’outil Security Check, disponible en plusieurs langues, fournit des informations utiles sur les mesures à prendre.
Michael Critchfield est chef de produit ETS à l’association KNX.
