Ces dernières années, l'utilisation de serrures intelligentes et systèmes de self check-in s'est aussi répandue en Italie dans les structures d'hébergement, des hôtels aux bed & breakfast. Ces solutions offrent aux hôtes un accès autonome et flexible, éliminant la nécessité de remise physique des clés. Cependant, comme tout dispositif IoT appliqué à la sécurité, ils apportent avec eux de nouveaux risques que les serrures mécaniques traditionnelles n'ont jamais dû affronter.
Dans cet article nous examinons en profondeur les principales criticités rencontrées dans les systèmes smart lock pour self check-in et voyons comment il est possible de les mitiger à travers des solutions de conception plus sûres.
Faiblesses hardware
- Composants externes démontables : claviers et modules de lecture logent souvent des relais et câblages accessibles, permettant de manipuler ou court-circuiter les fils après avoir retiré le panneau.
- Faible ségrégation interne : dans beaucoup de dispositifs le mécanisme de déverrouillage réside dans le terminal externe, plutôt que dans un module protégé à l'intérieur de la porte, rendant vain tout effort de blindage externe.
Lacunes software
- Codes prévisibles ou réutilisables : PIN statiques ou algorithmes communs sur plusieurs serrures permettent de générer des codes valides pour plusieurs dispositifs.
- Absence de limites aux tentatives : sans blocages ou timeouts, une attaque de force brute peut tester des milliers de combinaisons jusqu'à découvrir le PIN.
- Identifiants par défaut : interfaces de debug ou administratives protégées par des mots de passe préétablis restent souvent inchangées, ouvrant des "backdoors" numériques.
Vecteurs wireless
- Interception des communications : Bluetooth ou Wi‑Fi pas toujours chiffrés exposent commandes d'ouverture et identifiants réseau en clair.
- Relay attack : techniques de relance du signal BLE peuvent faire croire à la serrure que le smartphone autorisé soit à proximité, bien qu'étant loin.
Maintenance et cycle de vie
Beaucoup de produits low‑cost épuisent les mises à jour firmware après 1–2 ans, laissant des vulnérabilités connues sans patches. La dépendance excessive aux services cloud externes peut en outre rendre inopérant le système en cas d'extinction ou interruption du service.
Geva Elettronica : sécurité intégrée
Geva Elettronica affronte les principales criticités avec une architecture sûre et résiliente.
Commande serrure sur bus RS485
Le terminal externe (clavier ou lecteur) communique via RS485 avec un module de contrôle interne, placé derrière la porte ou dans un tableau protégé.
- Aucun relais accessible à l'extérieur
- Anti-manipulation : coupure ou déconnexion du bus n'ouvre pas la serrure et maintient la porte bloquée
Codes temporisés et offline
- Usage unique et limités : chaque code a validité exclusive pour l'intervalle de séjour et devient inutile à la fin, éliminant réutilisation ou brute forcing prolongé
- Vérification offline : la serrure reconnaît les codes sans connexion Internet, annulant les risques d'interception ou downtime du cloud
Badges RFID pour accès successifs
Après l'ouverture initiale via PIN, à l'hôte est fournie une carte RFID valide pour toute la durée du séjour.
- Fenêtre d'exposition du PIN réduite à quelques minutes
- Accès récurrents gérés par badge, sans demander codes numériques
Indépendance du cloud
Une fois générés les codes, le système fonctionne de manière autonome, garantissant continuité opérationnelle même en absence de réseau ou de support cloud à long terme.
Conclusion
Tandis que beaucoup de smart locks cèdent aux manipulations physiques, failles software et attaques wireless, le système Geva Elettronica se distingue pour un design qui met la sécurité au premier plan. L'usage d'un bus RS485 protégé, la génération sûre de codes temporaires, le support offline et l'emploi de badges RFID assurent une expérience de self check‑in commode mais à l'épreuve des intrus.