Paxton-Access & XPR
Auteur : CraneFly
Zine : Rafale #4
Il y avait déjà eu dans le numéro #1 de Rafale un texte publié sur l'entreprise
de matériel de sécurité Q-See et les problèmes principalement dû aux codes et
mots de passe par défaut. Le texte qui suit pourrait être la continuation d'une
série sur ce type de produits, qui aboutira peut-être (on verra) sur un résumé
final de tout les problèmes classiques que l'on peut trouver dans le matériel
de gestion d'accès et d'intrusions.
On pourra donc déceler au fur et à mesure des analyses les différents problèmes
qui se répètent.
Ici nous allons parler de l'utilisation de certains fils éléctriques dans le
matériel de gestion d'accès AUTONOME, qui n'est donc pas relié à un système
central et contenant tout les composants éléctroniques nécessaires à son
fonctionnement.
La première entreprise prise en exemple ici est Paxton-Access, une entreprise
anglaise basée dans l'East Sussex, mais qui distribue partout dans le monde
(Australie, France, USA, Japon, Inde, ... la liste est longue).
Paxton-Access a différencié ses produits de gestion d'accès autonome par
l'appelation "compact". C'est donc ces produits que nous allons "étudier".
La deuxième entreprise, XPR, est à la base française, mais les bureaux actuels
se trouvent en Inde et en Belgique. Nous n'allons pas étudier toute une gamme
de ses produits, mais seulement 5 de ceux-ci ayant des caractéristiques
communes.
Paxton-Access
Le clavier Compact Touchlock est un clavier autonome classique fonctionnant sur
une alimentation éléctrique de 12V CC et permettant d'entrer un code pour faire
ouvrir une porte.
Il peut être programmé en multi-utilisateur, ou avec un seul code utilisateur.
Le code utilisateur par défaut est 1234. Evidemment ce code a pu être changé,
donc dans certains cas c'est un peu pauvre comme information.
Ce code utilisateur, comme les autres codes et options peuvent être modifiés
grâce au "code de programmation", qui lui n'a pas de valeur par défaut vu
qu'il est entré à la première utilisation du clavier Touchlock.
Le gros problème du clavier touchlock est qu'il est très facile d'accèder à
ses différents fils éléctriques.
Pour cela rien de plus simple :
1) Munissez-vous d'un tournevis cruciforme
2) Dévissez la petite vis se trouvant sur le côté du clavier qui fait face au
sol
3) Retirez la monture qui se trouve autour du clavier. Elle est fixée par des
clips, il faut donc avoir une tige en métal, un tournevis plat ou
n'importe quoi de solide permettant de faire levier
4) Dévissez les deux vis se trouvant sous le clavier et celle se trouvant
au-dessus de ce dernier
5) Décrochez le clavier Touchlock, et regardez derrière...
Bon ça evidemment c'est si on veut la faire soft, mais en fait on peut
directement passer au point 5; le pied de biche ça marche toujours très bien,
et rien de tel que les bons trucs de grand-papa. Donc contrairement à ce que
j'ai dit avant, l'accès aux fils est TOUJOURS un gros problème, pas uniquement
pour ce clavier compact touchlock , bien que certaines entreprises ajoutent des
méthode d' "anti-arrachement".
Nous voilà donc face à 3 ou 4 paires de fils selon les versions du clavier.
Sur les versions les plus anciennes on a :
- 2 fils gris qui servent pour le bouton de sortie se trouvant de l'autre
côté de la porte, et qui permet comme le dit le nom de sortir.
- 2 fils noirs qui sont reliés à l'alimentation.
- 2 fils blancs qui sont reliés à la serrure.
Il est heureusement possible de différencier le fil positif du fil négatif au
fait que le file positif n'est pas uniforme mais rayé.
Sur les versions plus nouvelles, les fils sont les suivants :
- Fil rouge : +12V, fil positif relié à l'alimentation
- Fil noir : 0V, fil négatif relié à l'alimentation
- Fil bleu : 0V, fil relié au bouton de sortie
- Fil mauve : fil relié au bouton de sortie
- Fil jaune : 12V, fil positif relié à la serrure
- Fil vert : 0V, fil négatif relié à la serrure
- Fil brun : 12V, fil positif relié à la sonnerie
- Fil orange : 0V, fil négatif relié à la sonnerie
Normalement, je les ai tapé dans l'ordre de branchement, de gauche à droite,
mais de toute façon vous avez les couleurs, et puis que les daltoniens se
débrouillent.
Il faudra peut-être dénuder un peu le câble pour accèder à tout ces petits fils
forts sympatiques. Vu que manipuler des fils éléctriques sous tension n'est pas
sans dangers, il faudra se fournir des gants isolants. A ce propos j'en profite
pour conseiller un excellent document PowerPoint très détaillés et très
interessant sur les dangers de l'éléctricité dont voici l'url :
http://www.discip.ac-caen.fr/risques.professionnels/telechargement/
Ressources_inrs/risque_electrique/Risque_electrique.ppt
A partir du moment où on a accès à ces fils, je vois plusieurs nouvelles
possibilités pour ouvrir la porte.
La première, la plus simple et la plus sûre, est d'utiliser le bouton de
sortie. En effet le bouton de sortie, qui se trouve donc de l'autre côté
de la porte, du côté qui ne nécessite pas un code, est un simple interrupteur,
c'est-à-dire qu'il ne fait que mettre en contact les 2 fils (un bleu et un
mauve, ou les 2 fils gris pour les anciennes versions).
Il suffit donc de couper ces 2 fils et de les mettre en contact le temps qu'on
veut que la porte reste ouverte.
Il s'agit evidemment de joindre les 2 fils qui partent du clavier, et pas ceux
qui partent du mur/bouton de sortie.
C'est rapide et efficace. Je tiens à signaler que cette technique du bouton de
sortie est utilisables sur énormément de systèmes de sécurité de ce style (bien
que très simple), comme nous pourrons peut-être le voir dans des textes futurs.
La deuxième possibilité est de réinitialiser le clavier, de façon à enregistrer
un nouveau code de programmation, et à remettre un code utilisateur par défaut.
Voici la marche à suivre pour la réinitialisation :
- Couper l'alimentation, c'est-à-dire le fil rouge et le fil noir
- Appuyer sur la touche "3"
- Remettre l'alimentation tout en maintenant la touche 3 enfoncée
Toutes les lumières devraient alors clignoter, et le clavier emettra une série
de "bips".
Seulement c'est pas toujours simple de manipuler les 4 fils (les 2 bouts noirs
et les 2 bouts rouges) et d'appuyer sur le 3 en même temps. Là à vous de voir
vous pouvez trouver un moyen pour maintenir la touche enfoncée, ou bien par
exemple recomposer un des deux fils, et appuyer d'une main sur la touche
en mettant en mettant en contact les deux bouts de l'autre fil.
Bref le clavier est maintenant réinitialisé, il faut choisir un nouveau code de
programmation. Il doit être de 6 chiffres. Si on a choisit par exemple
le code 568129, il faut entrer au clavier :
< cloche > 568129 < cloche > 568129 < cloche >
< cloche > étant evidemment la touche tout en bas avec une petite cloche dessus.
En temps normal pour changer le code, au lieu d'appuyer la première fois sur
< cloche >, il faut appuyer 3 secondes sur la touche 6, puis la suite est la
même.
Seule restriction, le code de programmation ne pourra pas contenir la séquence
"1234" parce que c'est le code utilisateur par défaut, et que le code de
programmation ne peut pas le contenir, c'est comme ça !!
Maintenant que notre nouveau code de programmation est enregistré, le code
utilisateur par défaut est remis, et il est comme je l'ai déjà dit "1234".
Le temps d'ouverture de la porte après entrée du code est par défaut de 7
secondes.
Dernière solution, utiliser directement les fils de la serrure.
Pour cela, il y a deux manières, selon que la serrure est en mode "ouverte" ou
"fermée en cas de panne". Elle est par défaut "fermée", c'est-à-dire que la
serrure reçoit une impulsion éléctrique quand elle doit s'ouvrir, et c'est le
contraire qui se passe si elle est en mode "ouverte" ; elle est tout le temps
sous tension, et cette tension est coupée en cas d'ouverture.
Si elle est en mode "ouverte", il suffit donc de couper les fils de la serrure
(jaune et vert) pour ouvrir la porte. Si, et c'est le cas le plus probable,
elle est en mode "fermée", il faut aussi couper les fils jaune et vert, mais
également les fils rouge et noir, ceux de l'alim. Quand c'est fait, relier le
fil négatif qui part du mur/de l'alimentation à celui négatif qui part de la
serrure, C'est-à-dire le fil noir au fil vert, et le positif de l'alim au
positif de la serrure, c'est-à-dire le fil rouge au fil jaune pour que la
serrure s'ouvre.
A noter qu'il est souvent conseillé pour les serrures "ouvertes en cas de
panne" (Fail Open/Fail Safe) qu'elles soient également branchées sur une
alimentation de secours en cas de panne générale ou locale. Ce qui n'est pas le
cas pour les portes de secours, qui elles doivent obligatoirement avoir une
serrure "ouverte" SANS alimentation de secours. Un bon exemple de ce type de
dispositif sont les verrous magnétiques, ou "maglock" (taskforce en a parlé
dans le magic trick n°1 de rafale#1).
Pour ceux qui aiment tester pleins de code, il faut savoir qu'il y a un mode
qui peut être enclenché et qui s'appelle le mode "désactivation automatique"
et qui bloque le clavier 60 secondes si quelqu'un a entré 20 chiffres sans
entrer de code valable.
Je rapelle bien que nous parlons ici, pour les fils, des claviers touchlock
COMPACT.
Dans les autres produits COMPACT, on a le "Lecteur Proximity", qui est un
système de reconnaissance non plus par code mais par cartes. Pour ce qui est
des fils éléctriques, on peut les utiliser exactement de la même manière que le
clavier touchlock, sauf pour la réinitialisation... et voici comment procéder :
Il faut d'abord éteindre le système, donc couper les fils rouge et noir.
Ensuite couper les fils du bouton de sortie, le mauve et le bleu, et relier
les bouts qui partent du lecteur ensemble.
Quand c'est chose faite, il faut relier à nouveau les fils de l'alimentation,
séparer les fils du bouton de sortie que l'on vient de relier et les mettre en
contact 2 fois en moins de 3 secondes. Le lecteur bipera alors normalement 6
fois, ou 4 selon les versions, indiquant qu'il est réinitialisé.
Cependant cela ne suffira pas à ouvrir la porte, le lecteur proximity n'ayant
pas de clavier, il n'a pas non plus de code par défaut.
Il faut donc pour cela se fournir un lot de cartes chez Paxton, qui peuvent
être vendues séparement, et passer la "carte d'enrôlement" devant le lecteur de
façon à pouvoir utiliser toutes les cartes utilisateurs du lot.
Nous n'allons pas étudier les cartes du lecteur proximity dans cet article,
mais je vous les cite quand même pour information :
- Enrolment Card : Valider les cartes du lot de carte
- User Card : Une carte qu'un utilisateur va présenter au lecteur pour ouvrir
- Shadow Card : Carte qui correspond à une User Card et permettant de supprimer
ce dernier
- Fail Open Release Card : Carte qui met le lecteur en mode "Fail Open"
- Door Open Card : Carte permettant de choisir le temps d'ouverture de la porte
- Silent Operation Card : Met le lecteur en mode silencieux
- Zone cards : Optionelles, elles permettent d'accepter ou de refuser certaines
autres cartes d'accès
Le produit "CardLock" fonctionne de la même manière que le lecteur proximity,
sauf qu'au lieu de présenter les cartes devant le lecteur, on les passe dans la
fente (< Placez votre blague vulgaire ici >).
Le dernier produit COMPACT est le lecteur anti-vandale proximity (ou PROXIMITY
vandal proof). On peut utiliser ses fils comme le "CardLock" et le "lecteur
proximity". Sa particularité est, comme son nom l'indique, qu'il est
"anti-vandale" ;)
Cela veut en fait dire qu'il n'est pas en saillie, vissé contre un mur, mais
bien qu'il se trouve INCRUSTé dans le mur.
Il y a trois types de lecteur anti-vandale :
- "Open Hole"
- "Cement Plug"
- "Blind Hole"
Le 1er est dans le mur mais directement accessible (voire image qui suit).
Pour accèder à ses fils, il suffit d'avoir une longue tige pliée à l'extrémité,
de l'insérer entre le lecteur et le mut puis de tirer vers soi, en éspérant
que les fils ont assez de jeux. Avant cela, il faudra retirer la taque de
plastique et dévisser les deux vis que l'on peut voir sur l'image (et cela pour
les 3 types de lecteur anti-vandale).
Le deuxième, "Cement Plug", a juste un rond de ciment entre lui et la taque de
plastique, qui la plupart du temps peut être retiré avec une bonne ventouse.
Pour le dernier, il faut y aller à la foreuse ;))
On m'a déjà demandé pour les serrures de sécurité quel est le temps de durée
d'une batterie. Pour cela je pense qu'on peut reprendre l'équation de Paxton,
qui est :
Temps = (Capacité de la batterie en Ah /
(Courrant de la serrure + courrant du lecteur) ) x 0.8
Ces données sont souvent fournies par le fournisseur (il porte bien son nom, le
salaud). Le 0.8 est un indice de sécurité permettant de tenir compte du fait
qu'aux derniers 20% de sa vie, un lecteur peut ne pas fonctionner parfaitement.
Cette équation compte large, puisque la serrure ne consomme pas tout le temps
du courrant en mode "fermée", et que c'est son mode par défaut.
XPR
Comme expliqué dans l'introduction, nous n'allons pas voir énormément de
produits XPR dans cette partie, mais seulement certains qui ont des
caractéristiques communes.
Je n'ai pas pu étudier tout les produits suffisamment en détail, mais ils
feront peut-être le sujet d'un autre article.
Nous n'allons par exemple pas parler ici d'un point pourtant assez important
pour l'exploitation de ces produits; les différents systèmes d'auto-protection,
car ils méritent à eux seuls un article complet.
Les 5 produits analysés en questions sont donc : EX5, EX7, EX5P, INOX99 et
VKP99. Tous sont des claviers à code permettant, comme d'hab, d'ouvrir une
porte.
Commençont par INOX99 et VKP99, et nous verrons ensuite les différences entre
ces 2 là et les 3 autres.
VKP99 :
Maintenant qu'on a vu les grands principes pour l'utilisation des fils avec
Paxton-Access, il n'y a pas grand chose à dire à ce sujet.
Voici les fils utilisables pour INOX99 et VKP99 :
- Fil blanc : Négatif de la serrure
- Fil jaune : Positif de la serrure
- Fil bleu : Bouton de sortie
- Fil Orange : Bouton de sortie
- Fil noir : Négatif de l'alim
- Fil rouge : Positif de l'alim
(Les fils brun et violet sont les fils de l'auto-protection, qui fonctionne
avec un système d'aimant. L'auto-protection des EX*, elle, se fait via un
bouton-contact. Je n'en dirai pas plus sur ce sujet ici, et je ferme donc la
parenthèse ;))
Ce qui change par contre et est plus interessant à voir, c'est comment
réinitialiser ces claviers (et donc utiliser les codes par défaut). Ils sont
protégés par un "capot" de sécurité qui est fixé au clavier par une vis de
sécurité, se trouvant sur le côté du clavier qui fait face au sol.
Et il se fait que pour réinitialiser, il faut hôter ce capot, et donc dévisser.
On a vu dans Rafale#1 une technique pour dévisser certaines vis de sécurité...
pas de chance, ça n'est pas la même qui est utilisée ici. Heureusement je me
suis arrangé pour analyser celles-ci (chui trop gentil) :) Et la clef à
utiliser est une clef hexagonale de 2 mm dont j'ai pris une superbe photo que
voici :
On peut se la fournir ou la fabriquer sans trop de difficultés.
Quand le capot est retiré, il faut accèder à l'arrière du clavier.
Pour cela, il faut retirer 3 vis cruciformes pour le clavier INOX99, et juste
tirer sur le bas du VKP99 vers le haut, de façon à ce que le mouvement crée une
courbe vers le plafond (enfin vous avez qu'à tester c'est pas compliqué).
Quand c'est fait, on peut voir un switch à l'arrière du clavier.
C'est avec ce switch et l'alimentation qu'il va falloir jouer pour
réinitialiser de la façon suivante :
- Couper l'alimentation (fils noir/rouge)
- Eteindre le switch 1
- Remettre l'alimentation
- Allumer le switch 1
Et voilà c'est pas plus compliqué, le clavier est réinitialisé.
Le code utilisateur par défaut est 123A (en fait c'est juste "123", le "A" est
là pour dire "valider") et le code master 000B (même chose, sauf que c'est le
"B" qui valide).
Pour changer ce code master il faut taper :
0 0 0 B 0 0 0 1 2 3 4 A B
Où :
000 = Code master
B = "Valider"
0 = Option "changer le code"
00 = Adresse mémoire du master
1234 = Nouveau code
A = "Confirmer"
B = "Quitter le mode programmation"
Le code peut être composé de 1 à 8 chiffres.
Maintenant, les différences et points communs avec les 3 autres claviers.
D'abord les EX* sont dans un boitier, donc après avoir enlevé le capot de
sécurité, il ne faudra pas dévisser mais simplement retirer le clavier du
boitier. EX5P peut même être placé dans le mur, avec une plaque (le capot)
fixée devant lui par 4 vis de sécurité. Les 2 autres ont 2 vis de sécurité au
même endroit qu'INOX99 et VKP99.
A part ça, la réinitialisation se fait de la même façon, avec les mêmes codes
par défaut.
Ensuite, pour repérer les fils, il faut retirer le clavier et regarder les
indications au dos.
La serrure : NO (positif) et C (négatif)
L'alimentation : LG+ (positif) et LG- (négatif) (ou LR+ et LR- selon les cas)
et il y a 2 boutons de sortie possible :
Bouton 1 : PB1 et GND
Bouton 2 : PB2 et GND
Conclusion
Et voilà pour ce qui est de trafiquer les fils du matériel de gestion d'accès
autonome. J'aurai pu citer encore de nombreux produits de nombreuses
entreprises mais ça n'aurait pas beaucoup de sens.
Peut-être que je publierai une petite liste au bout d'un moment reprenant
quelques claviers ou autres, avec les noms des entreprises qui les fabriquent,
les différents fils pour l'alim, la serrure, les boutons de sortie et autres si
il y a (alarmes, ...), les codes par défaut et les techniques de
réinitialisation ainsi que quelques commandes interessantes si il y en a, mais
ça demande pas mal de boulot de recherche, donc c'est pas pour tout de suite.
N'hésitez pas à me faire part de vos commentaires sur ce texte via l'adresse
mail de Rafale.