Les serrures connectées comme les modèles Yale ou Nuki sont pratiques : on ouvre la porte avec un smartphone, on crée des accès temporaires pour des proches ou des artisans, et on consulte un journal d’activité. Mais ces avantages s’accompagnent de responsabilités : si mal configurées, elles peuvent exposer vos données et vos accès. Je vous explique ici, en tant qu'artisan serrurier, comment je configure et sécurise ces serrures pour protéger la vie privée et limiter les risques.

Pourquoi la sécurité et la vie privée importent avec une serrure connectée

Une serrure connectée n’est pas seulement un objet mécanique : elle échange des données (logs d’ouverture, comptes utilisateurs, notifications) et peut être reliée à votre réseau domestique ou à des services cloud. Une mauvaise configuration peut permettre :

  • l’accès non autorisé à la porte (vulnérabilité technique ou mot de passe faible),
  • la fuite de données d’utilisation (qui entre/sort à quel moment),
  • la compromission d’autres appareils du réseau local si la serrure a une faille.

    • Mon objectif est toujours double : garantir l’accès physique (la porte reste sûre) et protéger les informations associées (qui a ouvert, quand, via quel compte).

    Avant l’installation : choisir le bon modèle et comprendre son fonctionnement

    Je conseille de choisir un modèle reconnu et maintenu : Yale et Nuki ont des mises à jour régulières et une documentation claire. Avant d’acheter, vérifiez :

  • le protocole de communication (Bluetooth, Z-Wave, Wi‑Fi, ou variation) ;
  • si la serrure utilise un pont/bridge (souvent nécessaire pour accès distant) et son mode de connexion ;
  • la politique de chiffrement et la fréquence des mises à jour logicielles.

    • Par exemple, les serrures Nuki utilisent souvent Bluetooth pour l’ouverture et un Nuki Bridge pour l’accès à distance via Internet. Les Yale (selon les gammes) peuvent proposer Bluetooth, Z-Wave ou Wi‑Fi. Connaître ces détails aide à créer une stratégie de sécurité adaptée.

    Configuration réseau : segmenter et limiter l’exposition

    Universellement, je sépare les objets connectés du réseau principal :

  • Je crée un réseau invité/Wi‑Fi distinct pour la serrure ou pour son bridge. Cela isole la serrure des ordinateurs et NAS qui contiennent des données sensibles.
  • Si la serrure utilise Z-Wave ou Bluetooth, elle n’apparaît pas sur le réseau Wi‑Fi principal — c’est un avantage. Pour les ponts Wi‑Fi, j’applique la segmentation.
  • Je change toujours le mot de passe par défaut du routeur et je désactive des fonctions comme UPnP si elles ne sont pas nécessaires.

    • Comptes, mots de passe et authentification

    La base de la protection, c’est l’identité :

  • Je crée un compte utilisateur unique pour la serrure avec un mot de passe long et unique. J’utilise un gestionnaire de mots de passe pour ne pas réutiliser les mêmes identifiants.
  • J’active l’authentification à deux facteurs (2FA) quand la marque le propose. Nuki et Yale proposent souvent des options d’authentification renforcée via l’application ou le cloud.
  • J’évite d’utiliser un compte générique commun à plusieurs personnes si je peux créer des utilisateurs individuels — ça permet de révoquer un accès sans changer tout le système.

    • Gestion des accès : permissions et durée

    La gestion fine des utilisateurs est souvent sous-estimée :

  • Je privilégie les accès temporaires plutôt que de partager une clé permanente. Pour un artisan, je donne un accès programmé limité dans le temps.
  • Je nomme les utilisateurs clairement (ex : "Marie - ménage - 04/03") pour garder un historique compréhensible.
  • Je révoque immédiatement les accès des personnes qui n’en ont plus besoin (anciens locataires, ex-employés).

    • Mises à jour et maintenance

    Les mises à jour corrigeant des failles sont critiques :

  • J’active les mises à jour automatiques du firmware quand la marque est fiable. Si je préfère le contrôle manuel, je vérifie au moins une fois par mois.
  • Je reporte les changelogs et je m’abonne aux alertes de sécurité de la marque pour réagir rapidement en cas de vulnérabilité connue.

    • Paramètres de confidentialité et cloud

    Beaucoup de serrures proposent une sauvegarde "cloud" pour la configuration ou l’historique d’accès. Voici ma démarche :

  • Je lis la politique de confidentialité : quelles données sont stockées, où (pays), combien de temps, et qui y a accès ?
  • Si je veux minimiser l’envoi de données, je désactive les fonctions cloud non essentielles (partage via lien, backups automatiques) et je favorise les solutions locales (ex : bridge local ou sauvegarde sur un NAS si possible).
  • Pour les logs sensibles, j’évite que l’historique complet circule en clair. Privilégiez les marques chiffrant les logs en transit et au repos.

    • Journal d’activité et notifications

    Le journal d’activité est utile, mais il peut aussi être une donnée sensible :

  • Configurez les notifications pour recevoir des alertes d’ouverture suspecte (tentatives répétées, ouverture tardive) plutôt que de laisser toutes les alertes activées en permanence.
  • Activez l’option de logs locaux si la serrure ou le bridge la propose. Si le cloud conserve des logs, limitez leur durée de rétention.

    • Scénarios concrets : mes configurations recommandées

    Voici deux configurations que j’installe souvent, selon le besoin :

    Usage résidentiel (priorité vie privée)Usage locatif / prestation (priorité flexibilité)
    Installer serrures Bluetooth + Bridge désactivé pour accès distant.Utiliser Bridge mais segmenter sur Wi‑Fi invité.
    Comptes locaux uniquement, 2FA pour l'app.Comptes séparés par locataire; accès temporaires programmés.
    Mises à jour automatiques activées.Alertes actives pour accès, journaux conservés 30 jours.

    Que faire en cas de doute ou de compromission ?

    Si vous pensez que quelqu’un a accédé à votre serrure ou que vos identifiants ont fuité :

  • Révoquez immédiatement tous les accès à partir de l’application et changez les mots de passe du compte lié.
  • Vérifiez les logs pour identifier les accès suspects (heure, utilisateur, méthode d’ouverture).
  • Si nécessaire, réinitialisez la serrure à ses paramètres d’usine et réinstallez-la avec des comptes et un réseau séparé.
  • Contactez le service client du fabricant et suivez leurs recommandations ; en tant qu’artisan, je peux aussi effectuer un audit sur place.

    • Quelques bonnes pratiques rapides

  • Ne partagez pas vos codes d’accès par SMS ou applicatifs non sécurisés.
  • Utilisez un mot de passe unique et 2FA pour le compte lié à la serrure.
  • Séparez les réseaux (domestique / IoT) et limitez l’accès à distance si vous n’en avez pas besoin.
  • Surveillez les mises à jour et appliquez-les rapidement.

    • Les serrures connectées peuvent rendre la vie plus facile sans sacrifier la sécurité si elles sont configurées correctement. Si vous voulez, je peux analyser la configuration de votre serrure (Yale, Nuki ou autre) et vous donner un plan d’action personnalisé pour renforcer la protection de vos données et de vos accès.