Skip navigation

Sésame, ouvre-toi ! Test de sécurité des serrures connectées

Türen öffnen sich wie von Geisterhand per App, selbst vom anderen Ende der Welt. Smart Locks sind erschwinglich, lassen sich ohne handwerkliches Können montieren und kinderleicht bedienen. Aber sind sie auch sicher oder öffnen sie ungebetenen Gästen Tür und Tor? Immerhin stellt die Haustür die letzte Bastion gegen ungewollten Besuch dar. Ob Sie digitalen Einbruch befürchten müssen oder den Komfort smarter Schlösser nutzen können, klärt dieser Test.

Six serrures connectées et un antivol pour vélo commandé par application sur le banc d’essai de l’institut AV-TEST.

Les serrures ont dû se soumettre à des tests détaillés contrôlant leur sécurité de base. En accord avec la structure du test, AV-TEST a examiné la sécurité du trafic de données, la protection contre les manipulations ainsi que l’utilisation des données d’utilisateurs.

Test : serrures connectées

AV-TEST examine les appareils IoT lors de tests de sécurité complets. Les tests actuels sont disponibles sur notre blog (www.iot-tests.org).

Le géant veut entrer chez vous

Amazon dispose non seulement de la plus grande boutique en ligne au monde, mais également d’un grand nombre de produits domotiques propres tels qu’Alexa, etc. Cette entreprise commerciale les utilise habilement pour augmenter le chiffre d’affaires de sa plateforme de vente. Sa dernière trouvaille porte le nom de « Amazon Key ». Son objectif : permettre aux livreurs d’ouvrir la porte des clients Amazon avec leur smartphone afin de livrer les commandes même en l’absence du client. Ce système intelligent pour la porte d’entrée est actuellement testé par les clients Amazon Prime aux États-Unis. Cependant, d’autres fabricants proposent déjà depuis longtemps des serrures connectées,  lesquelles ne se contentent pas de simplifier la vie aux livreurs.

Des portiers intelligents aux multiples fonctions

Les enfants rentrent de l’école, des artisans ont besoin d’entrer, mais vous êtes encore coincé dans les embouteillages ou vous attendez votre train en retard à la gare. Jusqu’à présent,  votre seule solution était d’appeler un voisin de confiance pour qu’il ouvre la porte avec son exemplaire de la clé. Encore fallait-il qu’il soit joignable. Jusqu’à présent, votre seule solution était d’appeler un voisin de confiance pour qu’il ouvre la porte avec son exemplaire de la clé. Encore fallait-il qu’il soit joignable.

Une serrure connectée vous offre une autre possibilité : un clic sur l’application du smartphone suffit à ouvrir la porte en votre absence. Une connexion Bluetooth, WiFi ou cloud permet d’ouvrir les portes d’entrée même sans clé et à distance. Certains des cylindres de fermeture motorisés proposent de définir des heures d’ouverture et de fermeture préprogrammées ainsi que d’autoriser l’accès à d’autres utilisateurs dans la mesure où l’application correspondante est installée sur leur appareil mobile et que l'autorisation correspondante de l’utilisateur principal a été transmise. Certaines serrures connectées disposent également de fonctions de géorepérage : ces smart locks s’ouvrent automatiquement dès que le récepteur radio détecte un utilisateur autorisé par l’application. Lorsque l’appareil mobile identifié est hors de portée du récepteur, le cylindre se referme automatiquement.

Six serrures connectées sur le banc d’essai

Dans le laboratoire d’AV-TEST, les testeurs de l’IoT (Internet des objets) ont examiné à la loupe six serrures connectées actuelles de divers fabricants :

• August, Smart Lock, États-Unis
• Burg-Wächter, secuENTRY easy 5601, Allemagne
• Danalock, V3, Danemark
• eQ-3, Eqiva Bluetooth Smart Lock, Allemagne
• Noke, Padlock, États-Unis
• Nuki, Combo, Autriche
• Semptec, Urban Survival Technology NX-1448-919  câble antivol Bluetooth, Allemagne

 

Systèmes simples au montage facile

Malgré leurs différents systèmes de fermeture, toutes les serrures connectées contrôlées par AV-TEST peuvent facilement être installées par tout un chacun, sans connaissances spécialisées. Les fabricants eQ-3 et Nuki proposent des systèmes particulièrement simples. En effet, il suffit de fixer une plaque de montage à l’intérieur sur le cylindre profilé européen classique, d’insérer la clé et de placer l'unité motorisée télécommandée par-dessus. Cette dernière inclut alors la clé et la déplace en fonction des ordres transmis par l’application. À l’inverse, les serrures connectées pour cylindre profilé de Burg-Wächter, Danalock et Noke soumises au test nécessitent de changer le cylindre de fermeture. Cette opération ne demande toutefois généralement pas plus de deux vis. Autres systèmes testés : une serrure connectée du fabricant américain August pour les serrures à pêne dormant à cylindre simple typiques d’Amérique du Nord ainsi qu’un câble antivol pour vélo du fabricant allemand Semptec, lequel a également été testé en raison de son fonctionnement similaire (voir encadré).

Conditions de test et vérification de la sécurité de base

Dans le cadre de ce test, les ingénieurs du laboratoire IoT d’AV-TEST ont examiné la sureté de la saisie, de la sauvegarde, du transfert et du traitement des données générées lors de l'utilisation des serrures connectées. Les produits ont pour cela été soumis à un contrôle de sécurité en conditions réelles. Dans le cas des smart locks, cela signifie que tous les produits ont été évalués dans des conditions de test identiques et reproductibles. En fonction du nombre de fonctions, les testeurs ont ainsi examiné la sécurité des appareils (comme la fonction de mise à jour), les connexions de données via Bluetooth, WiFi et services en ligne utilisées lors du fonctionnement ainsi que les applications des produits domotiques. Les testeurs ont également vérifié le respect des aspects liés à la protection des données. Cette vérification incluait aussi les déclarations de protection des données. De plus, ils ont cherché à savoir si les données saisies par le fabricant étaient réellement nécessaires au fonctionnement et quels droits d’utilisation ultérieure les fabricants s’octroyaient en ce qui les concerne.

Les serrures connectées offrent globalement un bon niveau de protection

Lors du test, chaque produit pouvait atteindre trois étoiles – et ainsi faire preuve de son bon niveau de protection – dans les catégories « Communication locale », « Communication externe », « Sécurité de l’application » et « Protection des données ». La moitié des serrures connectées y sont parvenues. Deux autres candidats au test ont tout de même obtenu deux étoiles sur les trois possibles, ce qui correspond à une sécurité de base correcte. Seule une serrure n’a pas su convaincre dans le laboratoire d’essais, mais les défauts constatés lors de ce test sont faciles à corriger. De manière générale, il semble que, contrairement à beaucoup d’autres fabricants de produits domotiques, les fabricants de serrures connectées aient pris leurs responsabilités. Ce constat est essentiel puisqu’une serrure connectée mal sécurisée peut ouvrir la voie aux cambrioleurs.

Les experts d’AV-TEST ne doivent lancer qu’un seul avertissement concernant l’antivol pour vélo évalué à titre comparatif, lequel a échoué au test de sécurité en n’obtenant aucune des trois étoiles.

Communication locale : le Bluetooth est sûr !

Toutes les serrures connectées testées permettent une communication locale via ondes radio Bluetooth. La communication entre la serrure et l’appareil mobile s’est révélée sûre pour tous les produits. En mode communication Bluetooth, les serrures émettent et reçoivent en général des données dans la version 4.0 (1 milliwatt, Low Energy) dont la portée radio maximale est de dix mètres. Il faudrait donc être extrêmement près de la serrure pour réussir à attaquer la communication Bluetooth. Les smart locks utilisent normalement un chiffrement bien mis en œuvre, le plus souvent AES avec au moins 128 bits. Les trois serrures d’August, Danalock et Nuki présentent même un chiffrement plus élevé et misent sur l’AES avec 256 bits.

Communication locale : un bon réseau WiFi sans fil

Au moment du test, seule la serrure de Nuki pouvait être intégrée au réseau WiFi domestique. Il faut pour cela ajouter un pont WiFi disponible séparément comme accessoire. Ce pont permet à la serrure connectée du fabricant autrichien de télécommander la serrure en tous lieux via l’application de l’appareil mobile ainsi que de l’intégrer dans d’autres systèmes domotiques tels que la commande vocale via Amazon Echo. Lors du contrôle dans le laboratoire d’AV-TEST, ni la connexion Bluetooth entre la serrure Nuki et le pont, ni la connexion WiFi par ondes radio chiffrée via SSL entre le pont et le routeur ne présentaient de point faible visible.

Après clôture du test, d’autres fabricants dont August et Danalock ont emboité le pas à Nuki et proposent désormais également un pont WiFi.

Communication externe : mise à jour non chiffrée

Les mises à jour importantes des serrures de sécurité sont envoyées via Bluetooth par leurs applications. Pour connecter le smartphone ou la tablette aux serveurs de la société, presque tous les produits utilisent une connexion en ligne sûre et chiffrée via SSL. Les testeurs n’ont constaté un envoi de donnée non chiffré que sur la serrure de Burg-Wächter où ils ont ainsi pu intercepter et consulter les mises à jour du firmware envoyées. Cela offre théoriquement aux attaquants la possibilité d’envoyer de fausses mises à jour à la serrure et donc par exemple de manipuler les fonctions de la serrure connectée.

Les testeurs critiquent également le fait que le smart lock de Burg-Wächter fasse une erreur fondamentale typique pour les produits domotiques : il n’est pas nécessaire de changer le mot de passe standard défini en usine pour utiliser la serrure et l’application. Il s’agit d’une négligence dangereuse car les appareils IoT aux données de connexion inchangées représentent des proies faciles pour les attaquants. Or, ces appareils sont faciles à identifier avec des moteurs de recherche pour appareils IoT comme Shodan. Cette erreur a été sanctionnée lors de la vérification de la catégorie « Communication locale ».

Communication externe : autorisations d’accès via l’application

Certaines serrures connectées permettent de créer, d’envoyer et d’administrer des autorisations d’accès pour des tiers via leur application. La serrure Nuki a pour cela par exemple recours à la communication cryptée du système de messagerie WhatsApp. Le destinataire reçoit une invitation sur WhatsApp. Cette dernière inclut un lien valable vers une adresse HTTPS sûre et chiffrée du serveur Nuki. Le code d’invitation peut uniquement être utilisé avec l’application Nuki et expire au bout de 48 heures.

Sécurité des applications : les fichiers journaux sont vulnérables

Puisqu’elles servent de base aux mises à jour, à l’administration des autorisations d’accès et à la communication avec les serrures connectées généralement basée sur Bluetooth, les applications représentent une cible potentielle pour les attaquants. Voilà pourquoi ces applications, et notamment leur programmation ainsi que leurs fichiers journaux, doivent être protégés autant que possible contre des attaques éventuelles. Quatre des six candidats sur le banc d’essai de ce test instantané ont fait preuve d’une bonne protection contre les attaques potentielles envers l’application. Seules les applications d’August et Danalock ont généré des protocoles de débogage détaillés. Ces derniers peuvent fournir des informations aux attaquants potentiels sur le fonctionnement des applications ainsi que des indices sur les actions des utilisateurs. Concernant l’application d’August, les ingénieurs d’AV-TEST n’ont détecté de tels protocoles que dans la partie déjà protégée de l’application tandis que dans l’application de Danalock, il était possible de consulter ces protocoles avec des outils courants comme Android LogCat. Les deux fabricants devraient ici améliorer leur produit.

Protection des données

Qui quitte la maison à quel moment pour revenir quand ? Les applications de certains fabricants permettent au propriétaire de la serrure d’accéder à ces informations, mais lui sont-elles aussi réservées ? Les experts d’AV-TEST ont vérifié les déclarations de protection des données des serrures connectées en se basant sur le droit européen de la protection des données.  Sur ce point, Nuki s’est particulièrement démarqué. La déclaration de protection des données du fabricant autrichien est directement adaptée au produit testé. Cela s’explique toutefois en partie par le fait que ce nouveau fabricant ne propose pas encore d’autres produits. La déclaration de protection des données de Nuki est facilement accessible via l’application ou le site Internet, bien structurée et rédigée de manière compréhensible ce qui en fait une déclaration exemplaire.

Exception faite du fabricant nord-américain August, tous les autres fabricants de serrures ne font appel qu’à des informations nécessaires à l’utilisation de la serrure connectée. Ce fabricant nord-américain demande ainsi par exemple une photo lors de l'inscription en ligne.  Les testeurs estiment qu’August, Danalock et Noke doivent améliorer leur déclaration, notamment quant aux informations sur les données sauvegardées et leur utilisation par des tiers. Ces défauts seraient faciles à corriger en l’adaptant au droit européen de la protection des données.

Bilan

Il ne faut pas forcément prendre des risques pour se simplifier la vie. Les résultats étonnamment bons du test des serrures connectées permettent de tirer cette conclusion rassurante. Ils sont étonnants car la plupart des appareils testés dans ce groupe de produits se démarquent positivement des autres appareils domotiques,  par exemple des caméras IP souvent mal sécurisées dont l’objectif est pourtant aussi d’assurer la sécurité des bâtiments. Les fabricants de serrures connectées ont globalement fait du bon travail. L’institut AV-TEST peut attester que cinq des six systèmes de fermeture examinés lors de ce test de courte durée présentent une bonne sécurité de base et que leur vulnérabilité est au mieux théorique. Les serrures connectées d’eQ-3, Noke et Nuki ont même réussi le test en atteignant la note maximale de trois étoiles grâce à leur un bon niveau de sécurité. Voilà ce qu’on attend d’une installation de fermeture intelligente. La serrure connectée de Burg-Wächter n’obtient qu’une des trois étoiles en raison de défauts évitables et facilement corrigibles, elle ne peut donc pas être recommandée en l’état. Les résultats effroyables de l’antivol pour vélo commandé par application du fabricant allemand Semptec (voir encadré) prouvent qu’il est possible de faire bien pire.

Sésame, ferme-toi ! L’antivol de Semptec ne passe pas le test.

Ce fabricant s’est emphatiquement baptisé Semptec « Urban Survival Technology ». Cette ambition prometteuse n’est malheureusement pas suivie des faits en ce qui concerne la protection offerte par son câble antivol Bluetooth NX-1448-919 commandé par application. En effet, l’antivol pour vélo était loin d’être sûr au sein du laboratoire d’AV-TEST. L’idée était pourtant bonne : un câble antivol Bluetooth commandé par application, lequel s’ouvre tout seul lorsque le propriétaire du vélo s’approche. Il n’y a donc plus besoin de déverrouiller son vélo et l’on peut directement se mettre à pédaler. À l’inverse, en cas de tentative d’ouverture non autorisée, l’antivol émet une alarme stridente et envoie un avertissement au smartphone du propriétaire.

Cette bonne idée n’est toutefois pas bien mise en œuvre et les vélos sécurisés avec l’antivol Bluetooth sont loin d’être en sécurité. Ainsi, la serrure Semptec fonctionne via une connexion Bluetooth non chiffrée qui peut être manipulée par des moyens simples. Les attaquants pourraient par exemple éviter le déclenchement de l’alarme. La situation n’est guère meilleure en ce qui concerne le choix des mots de passe possibles. L’application ne permet que de sélectionner un code à six chiffres, lequel peut facilement être décrypté par une attaque par force brute. La serrure facilite encore la tâche aux attaquants en ne limitant pas le nombre de tentatives successives de composition du code. Le code PIN préréglé est ainsi déchiffré au plus tard en quatre heures. Les testeurs ont aussi critiqué d’autres mécanismes de sécurité mal pensés ou tout simplement absents. Cependant, les erreurs déjà mentionnées suffisent à ce que l’antivol Semptec ne puisse pas obtenir d’étoiles lors du test.

Partagez ceci :