La serrure connectée de votre logement Airbnb note scrupuleusement chaque ouverture, chaque fermeture, l’heure exacte à laquelle vous rentrez le soir, celle à laquelle vous partez le matin. Ce journal d’activité, présenté comme un outil de gestion, est aussi un portrait-robot de vos habitudes de vie, potentiellement accessible à quiconque saurait y pénétrer. Le problème n’est pas la serrure en elle-même. C’est ce qu’elle sait de vous.
À retenir
- Les serrures connectées conservent un journal complet de vos entrées et sorties — une information exploitable par des criminels
- 18 modèles testés : 14 présentent des vulnérabilités affectant 20 millions d’utilisateurs, dont des accès 9 mois après révocation
- Airbnb et les fabricants collectent vos données comportementales, souvent sans vrai consentement explicite
Le journal d’accès : une fonctionnalité qui se retourne contre vous
Le journal d’activité d’une serrure connectée permet de consulter l’historique des entrées et des sorties via l’application mobile. Pour un propriétaire Airbnb, c’est pratique : vérifier que le locataire est bien parti, confirmer qu’un agent de ménage est passé à l’heure convenue. La gestion multi-utilisateurs permet même d’attribuer des accès spécifiques aux employés de ménage, avec des plages horaires définies. Bel outil de gestion, donc. Mais regardez la donnée sous un autre angle.
Les serrures connectées collectent des données sur les accès au domicile. Elles enregistrent exactement quand une personne entre. Elles consignent l’heure précise à laquelle la porte est verrouillée et déverrouillée. Ces données d’utilisation sont des informations privées sensibles. Pour un voyageur logeant une semaine dans un appartement Airbnb, cela signifie que le propriétaire, et les serveurs cloud du fabricant, savent à quelle heure il rentrait chaque soir. Dimanche, 2h du matin. Mercredi, 18h45. Un profil comportemental complet, constitué passivement, sans que personne ne le remarque.
Certaines marques de serrures peuvent partager les données utilisateurs avec des entreprises tierces, incluant les horaires d’entrée et de sortie. Si quelqu’un pirate un compte, il peut consulter l’historique des accès et apprendre la routine quotidienne, une information utile pour planifier un cambriolage. C’est le détail que le titre sous-entend : une serrure connectée, mal sécurisée, est une mine d’or logistique pour qui veut s’introduire dans un logement vide.
Des vulnérabilités documentées, pas théoriques
Les chercheurs en sécurité ne manquent pas de cas concrets pour étayer ces risques. Une évaluation complète de 18 serrures connectées Bluetooth commerciales révèle que 14 d’entre elles restent vulnérables à des attaques, affectant plus de 20 millions d’utilisateurs. Ces attaques permettent un accès non autorisé, un déni de service et le contournement des journaux de logs.
En 2025, des chercheurs de l’UCSD ont publié une étude sur les serrures Master Lock, qui appartient au même groupe que Yale et August, deux marques très présentes dans l’écosystème Airbnb. Parmi les vulnérabilités découvertes : des attaques par rejeu permettant un déverrouillage non authentifié, la possibilité pour d’anciens locataires de continuer à ouvrir la serrure après expiration de leurs droits, et la capacité à falsifier des entrées dans le journal d’audit. Cette dernière faille est particulièrement retorse : un intrus peut entrer. De plus, effacer toute trace de son passage dans les logs.
Un attaquant peut sauvegarder une clé de session et le profil correspondant, puis les utiliser avec un client Bluetooth personnalisé pour contourner les restrictions de l’application officielle. Cette attaque permet d’ouvrir la serrure jusqu’à neuf mois après révocation des droits d’accès. Neuf mois. L’ancien locataire d’un Airbnb qui repartait avec les droits numériques dans la poche, sans que personne ne le sache.
Le cas Chirp Systems est encore plus édifiant. Certaines serrures connectées pilotées par le logiciel Chirp peuvent être déverrouillées à distance par des inconnus, en raison d’une faille de sécurité critique. Cette exploitation à distance est possible parce que des mots de passe et des clés privées sont codés en dur dans l’application Android de Chirp. Quiconque connaît ces identifiants peut les utiliser via une API pour ouvrir à distance la serrure concernée. La faille a obtenu un score de sévérité CVSS de 9,1 sur 10. Pour mémoire, certaines serrures ont été trouvées avec des identifiants codés en dur, représentant un risque significatif pour environ 50 000 foyers.
Airbnb collecte aussi des données sur vos ouvertures de porte
La plateforme elle-même n’est pas en reste. Airbnb indique dans sa documentation qu’elle peut collecter des informations sur le dispositif, notamment son statut et son usage, par exemple, quand la serrure est déverrouillée. Ces informations ne sont pas vendues ni partagées avec des tiers à des fins publicitaires. La nuance est importante, mais elle ne règle pas tout. La collecte reste réelle, stockée, et soumise aux mêmes risques que n’importe quelle donnée hébergée dans le cloud d’une grande plateforme.
Du point de vue de la vie privée, ces systèmes permettent à la société exploitant la serrure, et parfois aux propriétaires, de collecter des données à chaque ouverture de porte physique. Les entreprises privées qui gèrent ces données pourraient les vendre. Ces informations, et les patterns comportementaux qu’elles révèlent, peuvent être utiles à des marketeurs pour inférer des données comme la composition du foyer, le statut professionnel, le type de travail, les loisirs ou les horaires de déplacement. L’EFF (Electronic Frontier Foundation) réclame depuis 2023 une régulation spécifique de ces usages.
En Europe, le plus gros problème mis en lumière par certaines analyses concerne les données personnelles collectées : beaucoup de données non nécessaires au fonctionnement sont collectées et le principe de minimisation du RGPD n’est pas respecté. même le cadre légal le plus protecteur au monde ne suffit pas toujours à contenir les pratiques réelles des fabricants d’objets connectés.
Ce que vous pouvez concrètement faire
Le risque zéro n’existe pas, les serrures connectées ne sont pas considérées comme plus sécurisées qu’un pêne dormant traditionnel, mais elles ne le sont certainement pas moins non plus. C’est honnête. Et c’est là que les bonnes pratiques prennent tout leur sens.
Côté propriétaire Airbnb, choisir une serrure avec un chiffrement robuste, AES 128 bits minimum, une résistance au piratage certifiée, et des mécanismes de sécurité complémentaires est la première étape. En France, la certification A2P@ est une référence utile : elle apporte une couche de sécurité numérique en plus de la sécurité mécanique et valide à la fois la résistance mécanique à l’effraction et la résistance aux attaques numériques.
Une serrure connectée n’est pas seulement un objet mécanique : elle échange des données et peut être reliée au réseau domestique ou à des services cloud. Une mauvaise configuration peut permettre l’accès non autorisé à la porte, la fuite de données d’utilisation (qui entre et sort à quel moment), ou la compromission d’autres appareils du réseau local. Mettre la serrure sur un réseau Wi-Fi séparé, un réseau invité dédié aux objets connectés, réduit significativement cette dernière surface d’attaque. Consulter régulièrement l’historique des accès et mettre à jour le logiciel de la serrure sont également des réflexes indispensables, les mises à jour régulières étant essentielles pour la sécurité et le bon fonctionnement du système.
Côté voyageur logé dans un Airbnb équipé, la conscience du sujet est déjà une protection. Savoir que vos allées et venues sont enregistrées ne change pas la donne immédiatement, mais cela change la façon dont vous évaluez la plateforme et le propriétaire. Le vrai angle mort reste la transparence : le consentement de l’utilisateur reste souvent théorique, les conditions d’utilisation étant rarement lues. Et pendant que personne ne lit les CGU, la serrure, elle, continue de noter l’heure.
Sources : serrurier-artisan-paris.fr | smartconnecte.com