Question : « J’envisage d’équiper ma maison d’une serrure connectée, pour pouvoir ouvrir ma porte avec une application, au besoin. Mais je ne suis pas certain que ce type de serrure soit suffisamment sécurisé. Qu’en disent les experts ? »
Réponse : de fait, utiliser une serrure traditionnelle est rarement une expérience jubilatoire : on cherche ses clés, on trouve la bonne, on l’enfonce, on tourne, et on doit parfois refermer derrière soi. Les serrures connectées facilitent le processus, puisqu’elles peuvent être ouvertes par application, carte à puce ou télécommande, ou même de manière complètement automatisée. Mais la question de leur sécurisation est légitime.
Les fabricants ont fait leurs devoirs
En règle générale, la sécurité de la porte dépendra avant tout du cylindre de sa serrure. En effet, la plupart des solutions conservent la serrure existante. De l’extérieur, un intrus potentiel ne peut pas savoir qu’il s’agit d’une serrure connectée. Et même s’il le sait, il est peu probable qu’il parvienne à pirater la serrure. C’est la conclusion à laquelle sont parvenus les experts d’AV-Test. Dans ce test,, ils ont passé à la loupe six serrures connectées actuelles de différents fournisseurs. Leur conclusion : « Le confort n’est pas nécessairement synonyme de mauvaise sécurité. » Sur le plan de la sécurité, la plupart des appareils testés ont la bonne idée de se distinguer des autres appareils pour maison connectée, qui sont souvent affligés de failles de sécurité béantes. Pour les testeurs, les fabricants de serrures connectées semblent, eux, avoir bien fait leur travail. Cinq des six systèmes de fermeture testés offraient une sécurité de base solide, avec des vulnérabilités qui restent théoriques. Les serrures connectées de eQ-3, Noke et Nuki ont obtenu trois étoiles sur trois lors de notre test, offrent un bon niveau de sécurité, et sont conformes à ce qu’on attend d’un système de fermeture connecté.
Le Bluetooth est pratiquement invulnérable
Toutes les serrures connectées testées communiquent localement par Bluetooth. Et la communication entre serrure et appareil mobile était sécurisée dans tous les cas. La plupart des serrures envoient et reçoivent des données en utilisant la norme Bluetooth 4.0 (1 milliwatt, Low Energy), qui offrent une portée maximale d’environ 10 mètres. Une attaque sur les communications Bluetooth exigerait donc de se trouver extrêmement près de la serrure. Les serrures connectées utilisent par défaut un chiffrement bien implémenté, généralement AES avec au moins 128 bits. La transmission des commandes est donc bien chiffrée. Christoph Clasen, de la police criminelle de Rhénanie-du-Nord-Westphalie, a également confirmé qu’aucune attaque réussie contre ce type de serrure n’avait encore été constatée. Il ajoute toutefois : « Il existe certainement une possibilité théorique de percer les serrures électroniques. Mais l’effort nécessaire est nettement supérieur par rapport aux cylindres mécaniques. » Et si une faille de sécurité était découverte, le fabricant pourrait y remédier rapidement par une mise à jour. Il est important de savoir que des serrures électroniques mal sécurisées pourraient ouvrir grand la porte aux cambrioleurs.