Serrure connectée posée, caméra fixée au-dessus de la porte d’entrée, application installée sur le téléphone. Installation terminée en une heure et demie, sentiment de sécurité immédiat. Puis un expert en sécurité physique et numérique passe par là, jette un œil de deux minutes sur l’ensemble du dispositif, et commence à énumérer ce qu’un cambrioleur remarquerait en premier. La liste est plus longue qu’on ne l’espérait.
À retenir
- Les cambrioleurs regardent d’abord ce qui ENTOURE la serrure connectée, pas la serrure elle-même
- Une caméra mal orientée crée des angles morts que les intrus détectent en quelques secondes
- La serrure mécanique sous-jacente reste le maillon faible que personne ne remplace
Ce que les cambrioleurs regardent vraiment à votre porte
Les cambrioleurs passent par la porte d’entrée dans deux tiers des cas. Pas par les fenêtres, pas par le garage. La porte. Ce chiffre change radicalement la façon dont on devrait penser la sécurité de son entrée. Et la première chose qu’un regard exercé repère devant une porte équipée d’une serrure connectée, ce n’est pas la serrure elle-même. C’est ce qui se trouve autour.
Un ancien policier rappelle que les signes précurseurs les plus souvent ignorés incluent les caméras de surveillance déplacées ou légèrement inclinées, souvent une manœuvre faite pour échapper à la détection. avant même de tenter quoi que ce soit, certains cambrioleurs passent une première fois en repérage. Une caméra mal orientée, c’est un angle mort identifié. Quelques centimètres d’écart et la caméra ne capte qu’une moquette ou la haie du voisin, jamais l’entrée.
Deuxième signal immédiatement visible : la serrure mécanique sous-jacente. Installer une serrure connectée sur une serrure mécanique peu sécurisée enlève tout l’intérêt de la chose. La faille ne vient pas de la serrure connectée, mais bien de la serrure mécanique déjà en place. C’est le paradoxe complet du gadget high-tech vissé sur une serrure à un point achetée en 1998. La majorité des cambriolages s’effectue en quelques minutes. Si la serrure cède rapidement, l’alerte arrive souvent trop tard. Le point faible n’est donc pas le système d’alarme, mais bien la résistance mécanique de la porte.
Troisième indice repérable à l’œil nu : l’éclairage, ou son absence. Un jardin, une allée ou une entrée plongés dans l’obscurité sont parfaits pour des intrus. Installer des éclairages extérieurs à détection de mouvement est simple, économique, et très efficace pour surprendre les visiteurs indésirables. Une caméra avec vision nocturne mal éclairée produit des images granuleuses et inutilisables en cas d’incident réel.
La fausse sécurité de la technologie connectée
L’expert s’arrête ensuite sur quelque chose que peu d’installateurs amateurs mentionnent : le maillon faible n’est pas la serrure elle-même, mais le réseau Wi-Fi auquel elle est reliée. Si votre Wi-Fi domestique est compromis, un intrus peut accéder aux autres appareils du réseau et s’infiltrer entre le boîtier relais et les serveurs du fabricant.
Dans de nombreux cas, des individus malveillants s’introduisent d’abord dans une caméra ou une sonnette connectée. Ils observent les habitudes, repèrent les heures d’absence ou détectent les automatismes programmés. Une fois ces informations obtenues, ils peuvent désactiver une alarme ou une serrure intelligente si l’appareil est mal sécurisé. Ce n’est pas de la science-fiction : c’est un scénario de reconnaissance passive, sans contact physique avec votre porte.
La question des mots de passe revient systématiquement dans ce type d’audit. Quand on demande aux propriétaires s’ils ont changé le mot de passe par défaut de leur box, ils marquent un silence gêné. Ce silence, les techniciens l’entendent plusieurs fois par semaine. Les objets connectés sont souvent configurés avec des mots de passe par défaut ou faibles, ce qui rend les attaques automatisées extrêmement rapides.
Le risque numérique reste toutefois à relativiser. En France, les cambriolages restent dans leur immense majorité des effractions physiques : porte forcée, fenêtre mal fermée, volet non verrouillé. Pirater une serrure connectée via le Wi-Fi demande du matériel et des compétences que le cambrioleur moyen n’a pas. Le risque numérique existe, mais il est d’une autre nature : atteinte à la vie privée, collecte de données sur vos habitudes, ou détournement de vos appareils. Deux menaces bien distinctes, qui ne se traitent pas de la même façon.
Les erreurs qui transforment une installation en passoire
Premier écueil concret : l’angle de la caméra. La caméra doit être placée en hauteur, entre 2,5 et 3 mètres, orientée vers la poignée. Cela dissuade et capte bien les visages. Une caméra posée trop bas peut être masquée en quelques secondes avec une casquette ou retournée à la main si elle n’est pas correctement fixée. Visser d’emblée sans avoir consulté le flux en direct est une erreur à corriger. Chaque angle a son importance : quelques centimètres d’écart et la caméra ne capte qu’une moquette ou la haie du voisin. Avant toute fixation, il faut tester de jour comme de nuit, déclencher un détecteur de mouvement, générer une notification.
Deuxième erreur, moins visible mais plus grave : choisir des équipements bas de gamme sans vérifier leurs garanties de sécurité. Les plateformes en ligne regorgent de capteurs à prix cassé, souvent livrés sans mise à jour automatique, avec des mots de passe par défaut et un chiffrement absent. L’économie réalisée à l’achat se paie par une exposition accrue aux détournements et aux fuites de données personnelles. Les flux vidéos transitent parfois vers des clouds peu scrupuleux, situés hors du cadre réglementaire européen. Une caméra à vingt euros peut transformer le salon en vitrine pour des observateurs indélicats.
Troisième point, celui que les marques n’affichent pas en gros sur la boîte : beaucoup de fabricants abandonnent la maintenance après deux ou trois ans, laissant les appareils vulnérables. À quelle fréquence prévoyez-vous de remplacer une serrure connectée ? On s’attend généralement à ce que ces appareils durent des décennies, pas quelques années, jusqu’à ce que le fournisseur ne fournisse plus d’assistance. Une serrure connectée dont le firmware n’est plus mis à jour depuis dix-huit mois est une serrure dont on ne connaît plus le niveau de résistance réel.
Comment construire une installation qui tient vraiment
La bonne nouvelle : les remèdes sont accessibles, sans budget démesuré. La base mécanique d’abord. La certification A2P, délivrée par le CNPP, classe les serrures selon leur niveau de résistance à l’effraction. Une serrure A2P une étoile offre déjà un premier niveau de protection. Deux ou trois étoiles correspondent à des niveaux de résistance supérieurs, adaptés aux environnements plus exposés. Pour les serrures connectées, il existe même une variante numérique : la certification A2P@ valide à la fois la résistance mécanique à l’effraction et la résistance aux attaques numériques, comme les protocoles de communication et les logiciels.
Côté réseau, l’isolation des appareils connectés sur un Wi-Fi dédié (un réseau “invité” réservé à la domotique, séparé du réseau principal) réduit la surface d’attaque. La mise en place de mots de passe robustes et de protocoles récents comme WPA3 doit être une priorité. Selon l’ANSSI, ces mesures élémentaires limitent les risques d’intrusion et de propagation d’attaques sur le réseau. L’ANSSI recommande aussi l’authentification multifactorielle et une politique rigoureuse de mots de passe comme leviers clés pour sécuriser la domotique.
Les entrées secondaires méritent la même attention que la porte principale. Les portes arrière et latérales sont trop souvent oubliées. Ceux qui connaissent leur affaire se concentrent précisément sur ces accès. Une serrure connectée sur la porte d’entrée, rien sur la porte de service : c’est une asymétrie que les cambrioleurs savent lire en quelques secondes depuis le trottoir.
Un dernier détail que peu de guides mentionnent : certains modèles de serrures connectées génèrent un journal d’accès horodaté consultable depuis l’application. Dès la troisième tentative infructueuse, certaines serrures se mettent en veille pour brider les attaques par force brute. Les mises à jour arrivent la nuit par liaison chiffrée. Le journal d’accès, accessible depuis une application protégée par authentification à deux facteurs, permet de voir qui a ouvert quoi et quand. C’est ce niveau de traçabilité, plus que n’importe quel voyant LED clignotant, qui transforme une installation en outil de sécurité réel plutôt qu’en signal de confort.
Sources : degrouptest.com | maison-et-domotique.com