On a posé une serrure biométrique connectée à 82 € sur la porte d’un local technique. Pas pour la sécurité, pour le test. En une heure de capture réseau passive, la serrure avait déjà contacté trois sous-domaines inconnus et envoyé un paquet d’initialisation avec un hash d’identification non salé. L’application compagnon, elle, affichait “Sécurité maximale” en lettres capitales.
Ce n’est pas une surprise. Les serrures biométriques grand public ne sont pas conçues pour résister à un attaquant qui comprend HTTP, mais pour rassurer un acheteur Amazon qui veut poser son doigt au lieu de chercher ses clés. L’intention de départ est légitime. Le problème, c’est que le vernis technologique cache une réalité moins glorieuse : une serrure mécanique bien montée reste plus difficile à contourner sans laisser de trace qu’une serrure connectée mal architecturée. Voici pourquoi.
Une clé mécanique reste plus difficile à pirater à distance
Vous ne trouverez personne pour crocheter votre serrure à 300 km de distance via une faille dans le protocole Zigbee. En revanche, un attaquant qui écoute le trafic de votre box domotique peut, dans certaines configurations, rejouer une commande d’ouverture sans jamais toucher votre porte. C’est le changement fondamental qu’introduit la biométrie connectée : la surface d’attaque quitte le cylindre et se déploie sur le réseau domestique, le cloud du fabricant, le smartphone et l’API publique.
Les fabricants aiment parler de chiffrement AES-128. Ce qu’ils omettent, c’est que la clé de chiffrement est parfois stockée en dur dans le firmware, identique pour toute une série de produits. Quand ce firmware est extrait via une attaque physique ou un dump de mémoire, c’est toute la gamme qui devient vulnérable. On ne parle pas d’un scénario de film : c’est arrivé sur plusieurs modèles entre 2022 et 2025, et les CVEs correspondantes sont consultables dans la base NIST.
Un serrurier traditionnel vous parlera de goupilles, de gorges, de clés protégées par brevet. La difficulté d’une attaque physique sur une serrure certifiée A2P reste élevée et, surtout, laisse des traces visibles. Une ouverture via commande HTTP, elle, peut ne laisser qu’une ligne de log que personne ne surveille. Si vous installez une serrure biométrique connectée, le critère numéro un n’est pas la technologie du capteur, mais le mode de communication et la politique de mise à jour du fabricant.
Les capteurs d’empreintes bon marché se dupent avec une photo imprimée
Nous avons reproduit l’expérience chez nous, avec une imprimante jet d’encre et du papier glacé. Une photo haute résolution de l’empreinte d’un utilisateur, prise à 20 cm avec un smartphone, imprimée puis humidifiée, a déverrouillé la serrure d’entrée de gamme en trois tentatives. Le capteur optique, dépourvu de détection de vivance, n’a fait aucune différence entre une pulpe de doigt et une image.
Les modèles plus onéreux embarquent un capteur capacitif ou ultrasonique, capables de détecter la conductivité de la peau ou le relief en trois dimensions. Ces capteurs sont plus difficiles à leurrer, mais pas impossibles. Une empreinte latente relevée sur un verre avec de la poudre graphite et transférée sur un film conducteur peut abuser certains capteurs capacitifs. Le coût de l’attaque n’est pas nul, mais il reste inférieur à celui d’un crochetage silencieux d’un cylindre européen de bonne facture.
Ce qui nous amène à un constat souvent ignoré : vous laissez votre code d’accès biométrique sur chaque surface que vous touchez. Une clé, vous la rangez. Une empreinte, vous la semez. Pour un logement individuel, le risque est modéré. Pour un local professionnel où passent des dizaines de personnes, la surface d’attaque biométrique est proportionnelle au nombre de doigts qui ont touché la poignée.
Le vrai risque est dans la mise à jour firmware que vous ne ferez jamais
Nous avons examiné le processus de mise à jour de cinq serrures connectées du marché en 2025. Trois ne proposaient aucune mise à jour automate. Deux exigeaient de télécharger un fichier binaire depuis un portail web, de le copier sur une carte microSD, puis d’insérer cette carte dans le module de commande après avoir retiré la façade intérieure. Vous imaginez un propriétaire de gîte rural ou un gérant de petite boutique effectuer cette manipulation tous les trois mois ?
Le résultat, c’est que des dizaines de milliers de serrures restent exposées à des vulnérabilités documentées des mois après la publication d’un correctif. Une recherche Shodan avec les bons filtres suffit parfois à identifier des instances vulnérables. En 2024, un chercheur a démontré qu’une commande MQTT mal formée sur un broker non authentifié permettait d’ouvrir une serrure en moins de deux secondes. Le fabricant a publié un correctif. Six mois plus tard, 70 % des dispositifs visibles n’étaient pas patchés.
Avant d’acheter, exigez une réponse claire à cette question : le firmware se met-il à jour automatiquement, sans intervention manuelle, via un canal chiffré et signé ? Si la réponse est “il faut passer par l’application” mais que l’application se contente de vous notifier d’aller chercher un fichier, passez votre chemin.
📌 À retenir : Une serrure biométrique sans mise à jour automatique chiffrée est un billet d’entrée différé. La faille existe déjà, elle attend juste d’être rendue publique.
Votre serrure connectée envoie vos logs en clair sur un serveur quelque-part
Lors de notre banc de test, nous avons intercepté les trames réseau entre la serrure et son application compagnon. Sur un modèle milieu de gamme vendu pour “usage professionnel”, chaque événement d’ouverture était envoyé à un serveur distant via une requête HTTP POST, sans TLS. Le payload contenait l’identifiant de la serrure, le code utilisateur (associé à l’empreinte) et un timestamp. Le tout en clair, sur le port 80.
Pire : le serveur distant acceptait des requêtes sans authentification autre que l’identifiant de la serrure, qui était l’adresse MAC du module Wi-Fi, facilement récupérable en écoutant le réseau. Un attaquant présent sur le même segment Wi-Fi pouvait non seulement espionner les habitudes de passage, mais aussi injecter de fausses entrées de log pour masquer une ouverture frauduleuse.
Le fabricant a été prévenu. Il a répondu que “les données ne sont pas considérées comme personnelles car l’empreinte elle-même n’est pas transmise”. C’est faux. L’identifiant utilisateur couplé aux horaires de passage constitue une donnée à caractère personnel au sens du RGPD. Pourtant, aucune politique de conservation n’était accessible, et le consentement se résumait à un bouton “Accepter les conditions d’utilisation” de 87 pages que personne ne lit.
Ce n’est pas un cas isolé. Chaque serrure connectée que nous avons pu tester émettait du trafic vers au moins un domaine externe sans documentation claire. La transparence du flux réseau devrait être un prérequis d’achat, au même titre que la résistance physique de la serrure.
💡 Conseil : Bloquez l’accès Internet sortant de la serrure au niveau de votre routeur, sauf pour le domaine strictement nécessaire aux mises à jour signées. Si la serrure exige une connexion permanente aux serveurs du fabricant pour fonctionner, vous n’êtes pas propriétaire de votre verrou, vous êtes locataire d’un service.
Construire son propre dashboard de contrôle : les pièges techniques
Certaines entreprises préfèrent développer un tableau de bord interne pour superviser leurs accès biométriques, plutôt que de dépendre de l’application mobile du fabricant. L’idée est saine : maîtrise de la donnée, personnalisation des alertes, intégration avec les systèmes de gestion des visiteurs. Encore faut-il éviter les erreurs classiques de conception qui transforment ce dashboard en porte dérobée.
La première erreur, c’est de sous-estimer l’empreinte JavaScript d’une interface de supervision. Un dashboard qui liste 200 serrures en temps réel avec des mises à jour toutes les secondes peut rapidement dégrader les Core Web Vitals si l’hydratation est mal pensée. On a vu des tableaux de bord où le LCP dépassait 5 secondes parce que le bundle JS pompait tous les états en une seule passe avant le premier rendu. Séparer le chargement critique des flux temps réel, utiliser le streaming et le prerender côté serveur, c’est la base. Une interface de sécurité qui met quatre secondes à s’afficher, c’est un collaborateur qui ignore l’alerte parce qu’il a changé d’onglet avant de la voir. Pour ce genre d’optimisation, les principes qu’on applique sur un site e-commerce valent aussi sur un outil interne : découpage du rendu et maîtrise de l’hydration.
La deuxième erreur, c’est la gestion de l’état local. Un dashboard de serrures doit afficher l’état courant (“verrouillée”, “déverrouillée”, “batterie faible”) et un historique récent. Stoker cet état dans un objet global React sans contrôle, c’est inviter les incohérences. Nous utilisons Zustand avec des sélecteurs atomiques pour éviter les re-rendus en cascade : chaque composant s’abonne uniquement aux tranches d’état dont il a besoin. Sur 200 dispositifs, la différence de performance est mesurable et évite les clignotements d’interface qui masquent un changement d’état critique.
Enfin, la troisième erreur, c’est de coder l’interface sans tests de latence réseau. Un appel API vers le firmware d’une serrure peut prendre 800 ms si le dispositif est en veille. Si votre front-end bloque toute l’interface pendant cet appel, l’opérateur clique, ne voit rien, reclique, et envoie deux commandes d’ouverture concurrentes. Nous avons modélisé ce comportement avec un outil d’audit maison, développé en pair-programming en utilisant Claude Code pour itérer sur le parsing des logs temps réel entre deux vols. Le débogage de ce genre de race condition n’a rien de théorique quand la conséquence, c’est une porte qui reste ouverte.
Questions fréquentes
Peut-on utiliser une serrure biométrique sans connexion cloud ?
Oui, certains modèles fonctionnent exclusivement en Bluetooth ou avec un hub local sans accès Internet. Dans ce cas, vérifiez que l’appairage initial ne force pas la création d’un compte cloud obligatoire. Le mode hors-ligne réduit considérablement la surface d’attaque réseau, mais ne résout pas la question des mises à jour firmware.
L’empreinte digitale est-elle stockée dans la serrure ou dans le cloud ?
Cela dépend du fabricant. Les conceptions les plus sûres gardent un template chiffré localement dans une enclave sécurisée du microcontrôleur. D’autres envoient le template au cloud pour le comparer côté serveur. Si vous ne trouvez pas l’information dans la documentation technique en moins de deux minutes, partez du principe que le stockage se fait dans le nuage, avec les risques de fuite que cela implique.
Une serrure biométrique est-elle compatible avec les certifications d’assurance ?
Les exigences varient selon les contrats et les pays. En Europe, un assureur demandera généralement une certification A2P (Assurance Prévention Protection) ou une norme équivalente qui atteste de la résistance mécanique. La biométrie seule n’apporte pas cette certification. Si votre contrat exige une serrure certifiée, vérifiez que le modèle choisi combine biométrie et cylindre mécanique certifié.
