Alarmes par téléphone
Zine : Rafale #7
Auteur : CraneFly
Dans un article précédent, on a pu voir détailler le système PARAVOX de
l'entreprise PARADOX. Il s'agissait d'un système d'alarme reliée à un système
téléphonique et dont certaines options étaient disponibles par téléphone.
Cette alarme est loin d'être un cas isolé. En fait, il y a même de plus en plus
de systèmes d'alarmes téléphoniques.
Ayant testé certains de ces systèmes, je vais vous expliquer ici certaines
généralités. Je vais ensuite détailler, comme pour PARAVOX, les commandes de
certains systèmes et leurs options.
Bien que la deuxième partie consistera donc en une simple description des
commandes à taper et des actions qui en résultent, ça me semble utile d'abord
pour donner des exemples et ensuite parce que, quand on "arrive sur les lieux"
sans connaître le service, il arrive que ces actions ne soient pas simples à
deviner. En effet les menus d'aides assistés par une voix ne sont pas présent
constamment.
I) Généralités
Les alarmes sont très rarement sur numéros verts. La plupart du temps, y
accèder coute donc une communication et par conséquent le but n'est pas de
téléphoner gratuitement ou anonymement. Mais bien d'utiliser les services de
l'alarme et d'utiliser les différents services qu'elle propose, en rapport
direct ou non avec l'alarme en elle même.
Accéder à une alarme téléphonique n'est pas aussi facile qu'un simple scan de
PABX. D'abord parce qu'elle peut se trouver sous n'importe quel numéro de
téléphone, de n'importe quel type.
Et puis la plupart du temps, le ligne est reliée à une véritable téléphone, un
fax, un répondeur, etc...
Même si on a trouvé un bon numéro, rien ne porte à penser que c'est un bon
numéro. Le mieux est donc d'avoir le numéro de téléphone plutôt que de le
chercher mais parfois le hasard fait bien les choses ;)
La majorité du temps, pour accéder à l'alarme, il faut d'abord téléphoner une
première fois, attendre un nombre de minimum deux sonneries, raccrocher et
retéléphoner au mêne numéro, après parfois un nombre variant de secondes
d'attente.
Une fois arrivé au menu, il faut trouver le mot de passe, par le même système
que pour n'importe quel service téléphonique "privé" (passes par défaut, carrés
sur le clavier, classiques, ...).
Vient ensuite la partie rigolote, l'utilisation des fonctionnalités mises à
disposition.
Les plus classiques sont les suivantes, mais il peut bien sûr y avoir des cas
particuliers, comme partout.
Il y a d'abord les fonctions de l'alarme en elle-même : connaître l'état de
l'alarme ou de ses différentes zones et activer ou désactiver l'alarme ou ses
zones. Et vu qu'il s'agit souvent de CENTRALES d'alarmes, cela signifie souvent
couper tout système de détection d'intrusion de la maison. Il s'agit donc
évidemment d'un problème très dangereux pour les usagers de ces alarmes.
Il est aussi possible d'activer ou de désactiver une ou des sortie(s).
Celles ci peuvent être programmées pour faire toute sorte de choses :
ouvrir la porte du garage, lancer la machine à café, allumer l'ordinateur,
lancer la neuvième de Beethoven sur sa chaîne HI-FI, allumer le sapin de noël,
démarrer un petit train éléctrique, réveiller un mort grâce à des décharges,
lancer le grille-pain, jouer un petit air de bignou éléctrique à distance,
tondre le gazon, déclencher une guerre nucléaire, ...
Et ce selon le choix du propriétaire évidemment.
Donc dans le cas de cette option, si on ne connait pas le lieu, qui sait ce qui
peut arriver !
On arrive ici à mon option préférée, car c'est le genre de service sur lequel
on tombe très rarement dans le phreaking en général. Cette fonctionnalité rend
à mon goût, pour un phreaker, les systèmes qui l'implémentent exceptionnels. Il
s'agit d'un bloc micro/haut-parleur.
Cela fonctionne la plupart du temps comme si on téléphonait au système, et
qu'il décrochait automatiquement.
Ce qui signifie non seulement qu'il est possible de parler via le haut-parleur,
de façon à se faire entendre de l'endroit où le système est installé, mais aussi
qu'il est possible d'entendre ce qui se passe aux alentours (alentours pas trop
éloignés tout de même, c'est pas la qualité extrême non plus; il n'écoute pas à
travers les murs).
Traîtrise : le système de sécurité devient alors un espion ! :)
Enfin, le grand classique des systèmes téléphoniques, la messagerie.
Selon les systèmes, on peut donc ajouter, supprimer et écouter des messages
comme sur un répondeur, mais dans le système d'alarme.
L'utilité n'est pas toujours flagrante pour un utilisateur externe.
Cependant, on pourrait imaginer des utilisations assez particulières, comme par
exemple une "boite aux lettres anonyme", par laquelle on pourrait faire passer
des messages de façon anonyme.. Sans perdre de vue que le propriétaire du
système peut lire ces messages lui aussi (mais le cryptage, ça existe).
Voilà pour ce qui est des généralités. Peut-être que si j'ai l'occasion de
tester plus de systèmes de ce type, je pourrais ajouter d'autres
fonctionnalités à cette liste, mais dans ce cas ça sera certainement publié
dans un prochain Rafale :)
Voyons maintenant quelques exemples concrets...
II) Quelques alarmes et leurs commandes
Commençons par deux produits créés par la même entreprise que le système
PARAVOX : PARADOX.
Je rapelle que ce produit permettait de transmettre un message à des numéros de
téléphone (ou à un numéro) si une alarme est déclenchée.
PARAVOX était entièrement programmable par téléphone.
Cette même entreprise propose deux autres systèmes du même type, qui sont une
réelle joie quand on tombe dessus :) : Magellan et InTouch.
- Magellan
Le premier système, appelé Magellan, permet de recevoir des signaux de
différents systèmes de sécurité sans fils. Si un des ces systèmes envoi un
alerte, Magellan va avertir une centrale de surveillance et déclencher une
alarme. Il propose entre autre une radio FM, un réveil, un bloc
micro/haut-parleur, ...
Mais il comporte aussi et surtout un système offrant plusieurs fonctionnalités
par téléphone.
Pour y accéder, comme pas mal de produits du style et comme dit plus haut, il
faut téléphoner sur la ligne où est installée la centrale Magellan, raccrocher
après deux ou trois sonneries, attendre dix secondes et appeler de nouveau.
Il faudra ensuite entrer un code pour arriver jusqu'au menu :)
Le code maître est par défaut 1234... si ce n'est pas le cas à vous de
trouver :) Un code fait 4 ou 6 chiffres, chacun de ces chiffres pouvant aller
de 0 à 9.
Le code maître à utiliser par téléphone est le même que celui à entrer sur le
clavier lors d'un accès direct.
Une fois un code valable trouvé, vous avez accès aux fonctionnalités.
La touche 1 permet de désarmer ou d'armer le système au complet selon
son état actuel. Cela signifie que, si on le désarme, aucune alarme configurée
sur Magellan ne pourra donner d'alerte.
La touche 2 permet d'enregistrer des messages, de 20 secondes maximum.
La touche * permet d'arrêter l'enregistrement de ce message.
Cette fonctionnalité n'est pas particulièrement interessante, à priori, puisque
ces messages ne seront enregistrés que sur le système Magellan, et ne pourront
être lu que depuis lui, mais, on l'a vu, avec un peu d'imagination une
utilisation est toujours possible.
La touche 3 permet d'écouter les différents messages eregistrés.
Le bloc micro/haut-parleur du système Magellan (hé oui, il en a un :)) est
accessible directement en appuyant sur la touche 4.
Le décrochage se fait directement en duplex.
Enfin, les dernières touches utilisables, les touches 5 et 6, permettent
d'activer ou de désactiver les deux sorties de Magellan.
Si la sortie est activée, la touche correspondante la désactivera, et vice
versa.
- APR3-ADM2
Le deuxième système de gestion d'alarme par téléphone de PARADOX est le
APR3-ADM2, ou module "InTouch", qui permet d'interagir avec deux systèmes de
sécurité différents : Digiplex ou Spectra.
Pour y accéder, là aussi, il faut téléphoner sur la ligne sur laquelle est
raccordée l'APR3-ADM2. Si il y a un répondeur ou un autre système sur cette
même ligne, il suffit de raccrocher au premier appel, puis de rappeler
directement, ou après une dizaine de seconde (en fait entre 10 et 25 secondes)
selon la configuration sur le même numéro. On a alors accès au système.
Les commandes différent légérement selon que le InTouch soit branché sur un
système Spectra ou Digiplex.
Voyons d'abord le Digiplex.
Première action à effectuer, classique, entrer un code d'accès, après avoir
entendu la jolie voix dire "Veuillez entrer votre code".
Le code maître par défaut est 123456.
Si le code est programmé de façon à pouvoir avoir une longueur variable, il
faut le confirmer avec un #, mais à priori c'est plutôt rare. Sinon, il sera
accepté (ou refusé) directement.
A noter que ce système utilisant la touche # permet de savoir directement si le
code utilisé est de longueur fixe, ou de longueur variable, pas besoin de le
deviner comme dans certains autres services. En effet il suffit de taper
n'importe quelle code d'une certaine longueur, et si il n'est pas pris
automatiquement en compte après 6 chiffres encodés, on peut supposer qu'il est
de longueur variable.
Une fois cela fait, la jolie voie va vous faire un listing des secteurs
activés (armés) ou désactivés. Il est possible de désarmer les différents
secteurs, et c'est d'ailleurs le but principal du InTouch ;)
Si le Digiplex est un Digiplex simple, il faudra appuyer sur les touches 1 à 3
pour activer ou désactiver les trois secteurs. Si c'est un DigiplexNE, huit
secteurs sont disponibles. On pourra donc appuyer sur les touches 1 à 8 pour
activer ou désactiver chacun d'eux. Dès qu'une modification de l'état d'un
secteur est effectuée, le listing se fait de nouveau entendre.
Il y a un système de droits en fonction des codes d'accès. Vous pourrez par
conséquent sûrement activer ou désactiver des secteurs différents en fonction
des droits du code d'accès que vous avez encodé au début... sauf si c'est le
code maître (da master code).
Une autre fonctionnalité est le fait d'activer ou de désactiver la sortie du
APR3-ADM2. Pour se faire, il faut appuyer sur # puis 0.
Cependant, cette option n'est pas toujours activée.
Si il y a eu une erreur durant un encodage (du code par exemple), la touche *
permet d'effacer cette erreur.
Pour finalement raccrocher, il faut composer le #9.
Pour accéder à un système InTouch branché sur un Spectra, l'accès est plus
difficile, pour la bonne raison qu'il y a deux codes à découvrir.
Le premier code permet d'entrer en contact avec l'APR3-ADM2. Il peut être
composé de 4 à 6 chiffres, et est par défaut 123456.
Si trois essais sont effectués sans succès, le système vous raccrochera au nez
(quel malpoli !).
Une fois le code valable entré, il faut entrer le code Spectra, c'est-à-dire
celui qui est utilisé lors d'un accès physique, et qui est par défaut 123456
aussi !
Encore une fois, il y a un système de droits, mais là il n'y a que deux
secteurs activables ou désactivables. Si l'utilisateur dont le code a été entré
n'a accès qu'à un seul des deux secteurs, son état sera automatiquement
inversé.
Sinon, l'état des secteurs sera cité, et vous devrez appuyer sur 1 ou sur 2
pour activer ou désactiver l'un ou l'autre des deux secteurs.
Cependant, une fois l'état d'un secteur changé, il faudra quitter la
"conversation" et s'authentifier une nouvelle fois pour le modifier à nouveau.
Il y a une option interessante, une fois les deux codes entrés correctement,
qui permet de changer le premier de ces codes, c'est-à-dire celui qui autorisé
l'accès au module téléphonique. Pour se faire, il suffit d'appuyer sur #8 puis
d'entrer deux fois le nouveau code voulu. Une fois cela fait, le changement
vous sera confirmé.
Enfin, comme sur Digiplex, la touche * permet d'effacer une erreur, #9
permet de raccrocher et #0 fait basculer l'état de la sortie.
- Infinite Prime
Petite nouveauté dans ce système, la gestion par SMS !
Le format des messages envoyés au numéro de l'alarme est toujours du même
type :
[Description] # [Code Utilisateur] [Commande]
La partie description décrit simplement l'action. Elle peut faire 43 caractères
maximum, et vous y mettez ce que vous voulez, sans influence sur la commande.
Le code maître est de 4 chiffres, et est par défaut 1111.
Enfin, la commande en elle-même tiens sur 3 caractères.
Il s'agit de :
120 : Désactivation
121 : Activation totale
122 : Activation partielle
123 : Activation périmétrique
124 : Activation totale + périmétrique
125 : Activation partielle + périmétrique
200 : Recevoir l'état d'activation
Cette dernière commande renvoie un SMS, avec l'état actuel de l'activation
(totale, partielle, ...) suivi de l'utilisateur qui a mis l'activation dans
cet état (non mais !).
Petit exemple pour être sur qu'on a bien compris, si je veux désactiver, et que
le code est 1234, je peux envoyer le SMS suivant :
DOWN#1234120
Les sorties sont également utilisables par SMS. Le format du message est
exactement le même que pour la gestion de l'alarme elle-même. Mais les
commandes, se composent d'une manière particulière.
Il faut taper le 0 pour désactiver une sortie et le 1 pour l'activer.
Il y a en tant 16 sorties, numérotées de 01 à 16. La commande pour désactiver
la sortie 5 par exemple est le 005. Un 0 pour désactiver et 05 pour le numéro
de la sortie.
Pour activer le train éléctrique par exemple, le SMS pourrait être :
TRAIN#1234112
Et ce si le code est toujours 1234 et que le numéro de la sortie reliée au
train est 12.
Si l'option est selectionnée, il est possible que vous receviez un SMS
confirmant l'état actuel de la sortie.
Voyons maintenant les options par téléphone.
Pour y accéder, comme d'habitude avec 5 secondes d'attente minimum avant
d'effectuer le deuxième appel. Au deuxième appel, Infinite Prime décrochera
après deux tonalités, et en émettra deux. Puis entrez le code.
La commande 3 permet d'activer le système en entier, la 6 de le désactiver et
la 9... arrête une sirène en cours de beuglement.
La commande 2 permet d'accéder au bloc micro/haut-parleur. Il peut être en deux
modes différents. Soit en Duplex, et alors il fonctionne comme un interphone,
soit en simplex, et il fonctionne comme un talkie walkie.
Si on se trouve dans ce dernier cas il faut appuyer sur 1 pour parler, et sur
0 pour écouter.
De plus, les 3 commandes précédentes peuvent être utilisées durant la
communication avec le bloc M/HP.
Si vous entendez durant l'appel à Infinite Prime deux tonalités incongrues,
cela signifiera que dans environ 10 secondes la communication, qui a une limite
de temps, va être interrompue. Pour prolonger le temps de communication, il
suffit alors de faire le 7.
Pour interrompre vous-même la communication, il faut taper le *#.
différents codes
Summit 3208 GSM/GLD
Comme le dit le nom de cette centrale, il est possible d'interragir avec elle
via GSM, et plus précisemment via SMS. D'ailleurs le fabriquant est le même que
pour Infinite Prime. Les commandes sont cependant différentes.
Le format du SMS est le suivant :
[Code Utilisateur] # [Commande]
Le code par défaut est 123456, mais il semble qu'il soit supprimé après la
première configuration. Donc à vous de le trouver !
Pour ma part, je suis déjà tombé sur un code à 4 chiffres, mais je n'en sais
pas plus.
Les commandes sont les suivantes :
MESX : Activation de la zone X, c'est-à-dire 1 ou 2.
MHSX : Désactivation de la zone X, toujours 1 ou 2.
ARRSIR : Arrêt de la sirène
ONXX : Activation de la sortie XX, de 01 à 16.
OFFXX : Désactivation de la sortie XX, de 01 à 16.
ONXXHHMM : Programmation de l'activation de la sortie XX à l'heure HH:MM.
OFFXXHHMM : Programmation de la désactivation de la sortie XX à l'heure HH:MM.
RELEX : Activation du relais X, de 1 à 7.
En gros les relais peuvent être des sorties supplémentaires. Mais ça peut aussi
être des événements qui réagissent à l'état de telle ou telle partie de la
centrale. Un peu compliqué de deviner ce dont il s'agit via téléphone.
Quelques exemples de SMS, avec le code utilisateur 1234...
Désactivation de la zone 2 :
1234#MHS2
Activation de la sortie 07 à 03h30 :
1234#ON070330
Désactivation de la sortie 15 immédiate :
1234#ON15
Arrêt de la sirène :
1234#ARRSIR
- RD-03
Normalement, ce système occupe une ligne téléphonique à lui tout seul, donc
le système décroche tout seul après un certain nombre de sonneries. Mais bon
il est toujours possible que le système soit derrière une PABX ou quelque chose
du genre.
motdepasse
Une fois dans le système, pas de surprises.
1 permet d'activer totalement le système de surveillance, 0 de le désactiver et
# l'active partiellement.
Il y a un bloc micro/HP : 4 pour écouter, 5 pour parler (hé oui, c'est un
modèle talkie-walkie ;)).
Pour raccrocher, appuyez sur 8... ou raccrochez ;)
Ne vous étonnez pas si après chaque commande entrée vous entendez plus ou moins
de signaux sonores chacun plus ou moins long, il semble que ça varie beaucoup
dans ce système.
- X'DOM KDS3/SC27TH/SC9100
Il s'agit d'un pack de sécurité, intégrant une centrale, un détécteur de
mouvements, d'ouverture de porte, une télécommande, ...
Comme le précédent, il est potentiellement accessible en ligne directe.
Une fois le numéro composé, 3 bips de confirmation vous invitent à entrer le
code qui, par défaut, ô surprise, est 0000.
Encore 3 bips de confirmation, et on peut choisir ce qu'on va utiliser.
0 pour l'alarme, de 1 à 16 pour les différentes sorties.
* permet d'armer (3 bips de confirmation), # de désarmer (2 bips).
Une petite note interessante à propos de la télécommande : fonctionnant jusqu'à
25 mètres de la console, son utilisation ne nécessite pas de code pin :)
Si quelqu'un qui s'y connait a le courage de jeter un coup d'oeil aux
fréquences et protocoles, qu'il n'hésite pas à m'envoyer ses résultats.
REM: La SC9100 a une interface utilisateur un peu différente, mais les
commandes sont les mêmes.
A noter qu'il existe différents codes pour cette alarme (et d'ailleurs surement
pour certaines des autres aussi).
- Hunter Pro
Il existe trois types d'alarmes Hunter Pro : Hunter Pro 896, Hunter Pro 832 RSA
et Hunter Pro 32. Ces alarmes ont un système téléphonique et un "Master Code"
identiques (5555).
Il y a deux modes de programmation par téléphone possible. Soit le mode de
base, soit le mode avancé.
Dans le mode basique, on téléphone au numéro de l'alarme, on attends qu'il
finisse de faire ses bips (un long et deux courts) puis on entre le code.
Si un long bip se fait entendre, c'est que le système est désarmé. Si le bip
est cout, le système est armé.
Les commandes sont les suivantes :
0 : Désactive la sirène et le dialer... ce qui veut dire que le prochain
numéro privé qui téléphone ne pourra pas se connecter.
1 : Arme le système
2 : Désarme (l'option doit avoir été activée par un technicien)
4 : Arme le système en mode "Home 1"
5 : Sortie on
6 : Sortie off
7 : Arme le système en mode "Home 2"
8 : Lance l'écoute pendant 1 minute sur place. Pour écouter une minute
de plus à chaque fois, il suffit de presser à nouveau sur le 8.
Quand l'alarme est configurée en mode avancée, on se connecte au système de la
même manière, mais le nombre de commandes est beaucoup plus important.
Chaque numéro de commande doit être précédé soit de * qui active, soit par #
qui désactive.
Je n'ai pas le courage de retaper toutes ces commandes, alors je vous file
direct une capture d'écran, et de toute façon elles sont dispos sur le net :
III) Conclusion
Voilà à peu près tout ce que j'ai à dire sur ces systèmes, avec quelques
exemples en prime.
Si certains d'entre vous connaissent d'autres systèmes de ce genre, ça serait
un plaisir qu'ils me fassent part de leurs découvertes via l'adresse mail de
Rafale.