Serrures connectées : une solution pas si sûre

En ajoutant de nouvelles fonctions aux serrures classiques, les modèles connectés les exposent aussi à de nouveaux risques.

Par Publié le 13 février 2020 à 09h58

Temps de Lecture 3 min.

Elles pointent timidement le bout du nez en grande surface, ces serrures numériques qui ont vocation à garder l’entrée de nos domiciles. Certes, elles ont des atouts pratiques : elles permettent d’ouvrir à distance à un enfant qui aurait perdu son trousseau, ou d’envoyer une clé virtuelle à un proche qui passerait à l’improviste. Mais ces modèles connectés sont-ils aussi sûrs que les modèles classiques ?

S’ils sont encore rares en France, on les trouve plus fréquemment sur les portes d’entrée des Américains. Les modèles, et leur fonctionnement, sont très variés. Certains s’installent par-dessus le verrou existant, quand d’autres le remplacent entièrement. Certains se déverrouillent à l’aide d’un objet qui ressemble à une clé, d’autres avec un bracelet, un porte-clés, ou en tapotant un code sur un clavier numérique apposé sur la serrure. Bien souvent, ces serrures cachent aussi une antenne Bluetooth qui permet de les déverrouiller avec un smartphone. C’est ainsi que l’on peut envoyer une clé virtuelle à quelqu’un.

Ces serrures doivent donc être solides sur le plan mécanique, à l’instar d’une serrure ordinaire, mais également sur celui de la sécurité informatique, afin d’éviter de potentiels piratages.

Beaucoup d’erreurs par le passé

Les experts interrogés par Le Monde font tous le même constat : ces critères n’ont pas toujours été réunis. En 2016, quand les spécialistes de la sécurité Anthony Rose et Jake Krasnov, fondateurs de l’entreprise de conseil BC Security, testaient seize modèles de serrures connectées, les trois quarts présentaient un niveau de sécurité jugé « nul ou pauvre ».

« A l’époque, nous avons relevé des erreurs sur beaucoup de produits vendus comme sûrs », témoignent les consultants. Toutefois, quatre ans plus tard, les choses leur paraissent avoir avancé :

« Beaucoup d’entreprises prennent désormais le temps de concevoir des applications robustes et de sécuriser [les communications]. L’idée est de faire en sorte qu’une attaque coûte trop cher au voleur, ou prenne trop de temps comparativement à un autre type d’attaque [mécanique par exemple]. Toutefois, le marché comporte toujours beaucoup de serrures connectées qui rognent sur la sécurité. »

Des progrès partiels

Hervé le Coq, directeur du pôle laboratoire malveillance du CNPP (Centre national de prévention et de protection), et son collègue Ibrahim Daoudi, ingénieur informatique, ont eux aussi noté des progrès depuis 2016. Le CNPP certifie la résistance mécanique des serrures avec la réputée norme A2P, et évalue depuis quelques mois leur résistance numérique avec le tout nouveau certificat [email protected] Cependant, la première serrure à recevoir la certification numérique [email protected] n’a reçu qu’une étoile sur trois possibles.

« Cela correspond à un agresseur de niveau 1, un script kiddie [un débutant] qui, pour schématiser, reproduit des tutoriels d’effraction repérés sur YouTube. Nous n’avons pas encore testé de serrure qui mérite une deuxième étoile, et serait donc capable de résister à un informaticien doté de petites connaissances en hacking. Encore moins à un agresseur de niveau trois, un expert en cybersécurité malveillant. »

De plus, « il n’est pas complètement impossible qu’un jour nous retirions le certificat numérique [email protected] à une serrure connectée, si une faiblesse importante est repérée. » Si le CNPP envisage ce scénario, c’est qu’en matière de sécurité informatique, tout n’est pas forcément prévisible. « Une chose contre laquelle il est impossible de planifier sa défense, ce sont les nouvelles failles informatiques, les “zero-day”, souligne Anthony Rose. Elles peuvent introduire une faiblesse que le concepteur n’a jamais envisagée, lui ou les éventuels sous-traitants qui l’aident en testant la sécurité de l’appareil avant sa sortie. »

Lire aussi Le business des « zero day », ces failles inconnues des fabricants de logiciel

Chaque fonction supplémentaire est un risque

Sur le papier, les serrures connectées ne présentent pas que des faiblesses en termes de sécurité : certaines sont capables de détecter les chocs et vibrations suspects pour en alerter leur propriétaire, d’autres peuvent avertir lorsqu’on les verrouille mal. Surtout, certains modèles permettent de désactiver les clés perdues à distance. Or, selon les experts interrogés, les clés égarées sont une cause courante de cambriolage.

Ces avantages peuvent-ils compenser les faiblesses des serrures connectées ? « Ça n’est pas comme cela que nous raisonnons », tranche Ibrahim Daoudi, du CNPP. « Plus on ajoute de fonctions, plus on augmente la surface d’attaque », ou pour parler plus simplement, plus on crée d’ouvertures par lesquelles les voleurs peuvent s’engouffrer si elles sont mal défendues. « Lorsqu’on ajoute une fonction qui permet de bannir une clé, ou d’en créer une nouvelle soi-même, on augmente la surface d’attaque. » Un constat partagé par Anthony Rose :

« Il faut connecter la serrure en permanence en WiFi pour faire fonctionner la détection des chocs ou la détection des portes mal fermées. Ce canal de communication peut ouvrir la porte à de nouveaux vecteurs d’attaque. »

Des quatre experts interrogés, aucun n’est aujourd’hui équipé d’une serrure connectée. Tous décrivent un secteur en pleine transition, qui n’a pas encore atteint sa maturité.

Contribuer

Dans la même rubrique

Services

Lecture du Monde en cours sur un autre appareil.

Vous pouvez lire Le Monde sur un seul appareil à la fois

Ce message s’affichera sur l’autre appareil.

  • Parce qu’une autre personne (ou vous) est en train de lire Le Monde avec ce compte sur un autre appareil.

    Vous ne pouvez lire Le Monde que sur un seul appareil à la fois (ordinateur, téléphone ou tablette).

  • Comment ne plus voir ce message ?

    En cliquant sur «  » et en vous assurant que vous êtes la seule personne à consulter Le Monde avec ce compte.

  • Que se passera-t-il si vous continuez à lire ici ?

    Ce message s’affichera sur l’autre appareil. Ce dernier restera connecté avec ce compte.

  • Y a-t-il d’autres limites ?

    Non. Vous pouvez vous connecter avec votre compte sur autant d’appareils que vous le souhaitez, mais en les utilisant à des moments différents.

  • Vous ignorez qui est l’autre personne ?

    Nous vous conseillons de modifier votre mot de passe.