Promotions en cours sur la boutique 1Control jusqu'au 22/07. Voir les offres →
Accueil / Blog / Pirater une serrure connectée : risques réels et parades

Pirater une serrure connectée : risques réels et parades

Guides Publié le 17/07/2026 10 min de lecture par 1Control
Serrure connectée et piratage : cylindre européen haute sécurité et clé mécanique de secours de la serrure connectée 1Control DORY

Vous aimeriez ouvrir votre porte avec le smartphone, mais trois doutes vous retiennent : et si quelqu'un arrivait à pirater la serrure connectée depuis son canapé ? Et si la batterie vous laissait dehors à onze heures du soir ? Et si un cambrioleur la forçait en trente secondes ? Ce sont les objections numéro un à l'achat — et ce sont de bonnes questions, qui méritent des réponses techniques, pas des slogans.

Nous écrivons ce guide en tant que fabricant : nous concevons la serrure connectée DORY et nous connaissons aussi bien les forces que les limites de cette technologie. Vous ne trouverez donc ici ni le ton lénifiant de certaines brochures (« sécurité de niveau militaire »), ni l'alarmisme de ceux qui vendent l'alternative (« on vous l'ouvre avec un laptop »). Vous trouverez les vecteurs d'attaque réels, un par un, ce qui les neutralise vraiment, les mythes à démonter et une checklist pour choisir. Commençons par la question que presque personne ne pose.

La bonne question : sûre par rapport à quoi ?

« Sûre » dans l'absolu n'existe pas : il n'existe que plus ou moins sûre que quelque chose. Et le bon point de comparaison n'est pas une porte de coffre-fort, mais la serrure que vous avez aujourd'hui : un cylindre mécanique avec des clés physiques. Cette base de référence a des faiblesses connues depuis des décennies, tellement banalisées qu'on ne les voit plus :

Une évaluation sérieuse met dans la balance les risques nouveaux introduits par la serrure connectée (attaques numériques, batterie) et les risques anciens qu'elle élimine (copies incontrôlées, aucune révocation, zéro visibilité). La comparaison complète des deux architectures est dans notre guide serrure électronique vs traditionnelle ; ici, nous nous concentrons sur les attaques.

Les vecteurs d'attaque réels, un par un

Quatre familles de risques couvrent pratiquement tout ce qui peut mal tourner : l'attaque physique, l'attaque radio, la mauvaise gestion des accès, la batterie. Passons-les en revue sans complaisance.

1. Effraction, crochetage, bumping : ici, c'est le cylindre qui compte

Première vérité inconfortable : la partie « connectée » ne change rien à la résistance mécanique de la porte. Ce qu'un cambrioleur force, c'est le cylindre, la pièce de métal dans laquelle tourne la clé — et une serrure connectée montée sur un cylindre médiocre reste aussi crochetable qu'avant, app ou pas app. C'est le critère le plus important et le moins cité dans les fiches produit.

En France, le repère du marché pour la résistance mécanique est la certification A2P délivrée par le CNPP, qui classe serrures et cylindres selon leur résistance à l'effraction : un bon étalon pour comparer la partie mécanique de n'importe quel produit, connecté ou non — vérifiez toujours ce que chaque fabricant documente sur son cylindre.

DORY, de son côté, ne se contente pas de poser un moteur sur le cylindre existant : il le remplace par un cylindre européen haute sécurité à double rangée de goupilles, développé avec OMEC, fabricant italien historique de cylindres. La double rangée de goupilles offre une résistance au crochetage et au bumping cohérente avec les serrures de qualité pour portes d'entrée, et la clé physique n'est reproductible que sur présentation du code secret imprimé sur une carte fournie à l'achat : une protection anti-duplication que la plupart des cylindres standard n'ont pas. Si votre porte est blindée, la question du protecteur de cylindre est traitée dans le guide dédié à la serrure connectée sur porte blindée.

2. Attaques radio et Bluetooth : ce qu'un pirate peut vraiment faire

Les attaques informatiques contre les serrures connectées existent : des chercheurs en sécurité ont démontré en laboratoire le rejeu de signaux non chiffrés, des appairages faibles et des apps exposant des jetons sur certains modèles — souvent anciens, corrigés ensuite par les fabricants. La question utile n'est pas « est-ce déjà arrivé ? », mais « qu'est-ce qui rend l'attaque impraticable aujourd'hui ? ». Deux choses : le chiffrement de la communication et la protection de l'accès administrateur. Sur DORY, l'appairage repose sur un échange de clés cryptographiques et le chiffrement Bluetooth Low Energy est de dernière génération : celui qui « écoute » le trafic ne peut pas rejouer les commandes. La gestion du dispositif — ajouter des utilisateurs, consulter l'historique, configurer les partages — est protégée par un PIN administrateur à 8 chiffres, distinct de l'ouverture de la porte.

Il y a ensuite une différence d'architecture qui mérite de l'honnêteté. Une serrure Bluetooth locale comme DORY fonctionne sans cloud : pour l'attaquer par radio, il faut se trouver physiquement à quelques mètres de la porte, et il n'existe aucun serveur distant à compromettre pour l'ouvrir. Les serrures cloud connectées en permanence offrent le contrôle à distance de série, mais au prix d'une surface d'attaque plus large : comptes, mots de passe réutilisés, serveurs tiers joignables depuis tout internet. Aucun des deux choix n'est « mauvais » — mais il est juste de savoir ce que l'on achète. Avec DORY, le contrôle à distance est un choix explicite : on ajoute le hub LINK relié à la box seulement si on le souhaite. La surface d'attaque, c'est vous qui la décidez.

3. PIN et accès mal gérés : le risque le plus sous-estimé

Le point faible le plus fréquent n'est pas la cryptographie : c'est la gestion humaine. Le PIN partagé dans le groupe familial et jamais changé, l'accès donné au dog-sitter il y a deux ans et jamais retiré, le code « provisoire » qui survit indéfiniment : c'est la version numérique de la clé sous le paillasson, et aucune technologie ne protège d'une permission mal donnée et oubliée.

Mais ici, une serrure connectée bien conçue est structurellement plus sûre que le trousseau de clés : les accès temporaires ont une expiration automatique et meurent seuls à la date fixée ; la révocation est immédiate, un geste dans l'app au lieu d'un cylindre à remplacer ; l'historique complet vous dit qui a ouvert et quand. Avec une clé physique prêtée, aucune de ces trois choses n'existe.

4. Batterie vide : la crainte la plus répandue, le risque le plus gérable

La peur de rester dehors est légitime, alors répondons avec les chiffres de DORY : deux piles CR2 au lithium durent environ un an d'usage domestique normal, et l'app prévient longtemps à l'avance quand elles s'épuisent. Et dans le cas extrême — piles complètement vides, alertes ignorées —, la clé mécanique reste toujours active : les tours de clé fonctionnent en pleine course même sans alimentation, parce que la partie mécanique est le fonctionnement standard du cylindre, pas un « mode de secours ». Avec une clé physique au bon endroit (au bureau, chez un voisin de confiance), le lock-out n'existe tout simplement pas.

Toutes les serrures connectées ne sont pas conçues ainsi : les modèles à ouverture uniquement motorisée ou par code dépendent entièrement de l'électronique, et à batterie épuisée il faut des procédures d'urgence. C'est l'une des différences d'architecture qui pèsent le plus dans le choix, comme le montre notre comparatif Nuki vs DORY.

Les mythes : le pirate de cinéma et le cambrioleur réel

« Le cambrioleur l'ouvrira avec un ordinateur. » Le cambrioleur réel cherche le chemin le plus rapide, silencieux et reproductible : dans l'immense majorité des cas, c'est une porte ou une fenêtre forcée au pied-de-biche, au tournevis, d'un coup d'épaule sur une menuiserie faible. Les attaques informatiques documentées contre les serrures connectées sont presque toutes des démonstrations de chercheurs en conditions de laboratoire, sur des modèles précis, signalées aux fabricants et corrigées. Nous ne vous donnerons pas un pourcentage inventé pour vous rassurer : le constat qualitatif suffit, et quiconque travaille sur les cambriolages le confirme — l'effraction est un phénomène physique, pas informatique.

« Si internet tombe, je reste dehors. » Une serrure Bluetooth locale ne dépend pas du cloud pour ouvrir : le smartphone et la serrure se parlent directement, même box éteinte. Et de toute façon, la clé mécanique n'a pas besoin de connexion.

« Qui me vole mon téléphone entre chez moi. » Il devrait d'abord déverrouiller le téléphone, puis l'app. Et contrairement à la clé physique volée — qui vous oblige à changer le cylindre —, l'accès d'un smartphone perdu se révoque depuis l'app en un instant.

Checklist : 5 critères pour choisir une serrure connectée sûre

Quel que soit le modèle que vous évaluez — le nôtre ou un autre —, vérifiez ces cinq points dans la fiche technique. En dix minutes, ils séparent un produit sérieux d'un produit de vitrine :

Pour le panorama complet — architectures, installation, autonomie, écosystème —, lisez notre guide complet de la serrure connectée.

Questions fréquentes

Peut-on pirater une serrure connectée ?

Des attaques ont été démontrées en laboratoire sur certains modèles, souvent anciens ou au chiffrement faible, corrigés ensuite. Sur une serrure au chiffrement Bluetooth récent, avec appairage par clés cryptographiques et PIN administrateur, rejouer les commandes en écoutant le trafic n'est pas praticable ; l'attaquant devrait de toute façon se trouver à quelques mètres de la porte. Le cambrioleur réel préfère le pied-de-biche : l'effraction reste un phénomène physique, et c'est là que compte la qualité du cylindre.

Que se passe-t-il si la batterie est vide ?

L'app prévient longtemps à l'avance quand les piles s'épuisent (sur DORY, deux CR2 au lithium durent environ un an). Même complètement vides, la clé mécanique de DORY reste toujours active et les tours de clé fonctionnent en pleine course sans alimentation : on ne reste pas dehors. Piles remplacées, configuration et utilisateurs sont toujours en place.

Mieux vaut une serrure connectée avec ou sans clé mécanique de secours ?

Avec : le secours mécanique élimine le risque de lock-out pour batterie vide, smartphone perdu ou panne électronique. À condition que le cylindre soit de qualité, car la clé reste un point d'entrée : sur DORY, le cylindre est haute sécurité à double rangée de goupilles et la clé ne se reproduit que sur présentation du code secret imprimé sur une carte, pour que le secours ne devienne pas une porte dérobée.

Puis-je révoquer un accès déjà partagé ?

Oui, à tout moment et avec effet immédiat, depuis l'app : aucune clé à récupérer, aucun cylindre à remplacer. Les accès temporaires expirent par ailleurs d'eux-mêmes à la date fixée, et l'historique montre qui a ouvert et quand — une permission oubliée ne reste pas ouverte pendant des années.

Conclusion

Alors, faut-il craindre le piratage d'une serrure connectée ? Une serrure bien conçue n'est pas le point faible de la maison : par rapport au cylindre traditionnel, elle élimine les copies anonymes, les permissions éternelles et l'absence de visibilité, et les risques nouveaux qu'elle introduit se neutralisent par des choix techniques vérifiables — cylindre haute sécurité, chiffrement récent, clé mécanique de secours. Les vrais problèmes, en pratique, ne viennent pas du pirate de cinéma : ils viennent du cylindre bas de gamme, de la batterie sans plan B et des accès donnés puis oubliés. Autant de choses que vous savez désormais évaluer avant l'achat.

Pour voir comment ces critères se traduisent dans un produit — cylindre européen haute sécurité développé avec OMEC, clé mécanique toujours active, accès à expiration et historique, un seul paiement sans abonnement —, la page de DORY est le point de départ ; pour protéger aussi le portail ou la porte de l'immeuble avec des PIN à expiration, il y a le clavier PAD.

Envie d'une serrure connectée avec cylindre haute sécurité et clé mécanique de secours, sans abonnement ?

Découvrir la serrure connectée DORY Découvrir le clavier PAD