Sécurité et protection des données : des valeurs fondamentales dès le départ avec Nuki
Nouveautés NukiTous les ans en octobre, l’Agence de l’Union européenne pour la cybersécurité (ENISA) remet ce sujet au centre de l’attention. Mais comment Nuki traduit-elle les thèmes de la sécurité et de la protection des données ? Quelles approches et quels concepts sont utilisés ? Et quel niveau de transparence applique-t-on concernant les potentielles failles de sécurité ? Jürgen Pansy, cofondateur et directeur de l’innovation, apporte des réponses aux dix questions principales actuellement sur le sujet.
1. L’objectif du Mois européen de la cybersécurité (ECSM) est d’attirer l’attention sur les risques et les dangers sur Internet et de renforcer les connaissances des citoyens européens sur les questions de sécurité informatique. Quel rôle assume Nuki ici ?
Nous souhaitons que notre entreprise contribue activement à augmenter la confiance de nos utilisateurs dans la sécurité des Smart Locks. C’est pourquoi nous développons dans ce domaines de nombreuses approches et concepts. Nous souhaitons ainsi garantir que les serrures intelligentes restent des objets sûrs, même dans un monde de plus en plus connecté. Dès le stade de développement de nos premiers prototypes, la sécurité et la protection des données sont des valeurs fondamentales pour nous. La protection des données de nos clients revêt une immense importance pour nous. Pour nous, les données les plus sûres sont celles que l’on ne divulgue pas. C’est pourquoi depuis la première génération, nos Smart Locks sont conçues de manière à ne pas nécessiter de compte utilisateur obligatoire – les données ne sont ainsi pas enregistrées sur nos serveurs. Pour la sécurité, nous misons sur le chiffrement de bout en bout.
2. Le terme de chiffrement de bout en bout peut sonner terriblement compliqué de prime abord. De quoi s’agit-il en des termes simples ?
Le chiffrement de bout en bout désigne l’utilisation d’une clé secrète qui n’est connue que de l’expéditeur et du destinataire. Des algorithmes de chiffrement solides, similaires à ceux des banques en ligne, et le processus d’authentification « défi-réponse » assurent l’impossibilité d’intercepter ou de copier et de reproduire à nouveau des commandes de blocage à la Smart Lock. Le processus d’authentification « défi-réponse » assure que deux paquets ne soient jamais identiques, même si le même contenu est envoyé. Chez nous, chaque combinaison de Smart Lock et de utilisateur – c’est-à-dire une App, un Keypad ou notre télécommande Bluetooth Fob – possède sa propre combinaison
de clés secrètes. Des commandes chiffrées sont envoyées par Bluetooth à la Smart Lock, même en cas d’utilisation d’un Keypad ou d’un Fob. Même en cas d’accès à distance, seuls les appareils terminaux connaissent la clé secrète.
3. Et pour quiconque souhaite recevoir encore plus d’informations techniques sur le chiffrement de bout en bout : quels protocoles, quelles procédures, quels logiciels sont utilisés par Nuki ?
Nous misons sur une combinaison de création d’une clé de sécurité et un processus de « défi-réponse » avec des nombres aléatoires. Une clé commune est générée lors de la connexion des appareils. Un échange de clé de type Diffie-Hellman a lieu. Cela permet de générer une clé sans devoir la transférer. Cette clé commune sert de base pour le chiffrement commun. La bibliothèque libre NaCl (Networking and Cryptography Library) est utiliser pour le chiffrement. Dans le cadre de la procédure « défi-réponse », on utilise pour chaque commande un nombre aléatoire individuel supplémentaire qui ne peut servir qu’une seule fois. Si un nombre aléatoire erroné ou déjà utilisé est transmis, la commande est rejetée. Nous empêchons qu’une commande puisse être interceptée et réutilisée ultérieurement.
4. Contrairement à d’autres fournisseurs de Smart Lock, l’utilisation de Nuki ne requiert pas la création d’un compte utilisateur. La seule exception est l’offre supplémentaire avec Nuki Web. Comment sont traitées ici les données des utilisateurs ?
Tous les produits de Nuki – à l’exception de la Nuki Box – peuvent être utilisés sans compte utilisateur. Cela vaut aussi bien pour l’utilisation locale par Bluetooth que pour l’accès à distance. Dans ces deux cas, les données à caractère personnel et liées à la sécurité ne sont enregistrées que localement sur les appareils terminaux respectifs et non sur des serveurs de Nuki. La seule exception est Nuki Web, un service cloud pour lequel des données sont stockées temporairement sur nos serveurs. L’activation du Nuki Web est une option qui peut être très pratique dans certains cas : les appareils Nuki peuvent être gérés clairement sur un PC ou un ordinateur portable. Un compte Nuki Web est également requis pour une intégration dans certains systèmes domotiques basés
sur le cloud (Google Home, Amazon Alexa). Mais là aussi, nous sommes en mesure de dire que nous respectons des normes de sécurité élevées. Chez Nuki, l’hébergement se fait uniquement en Europe, ce qui contribue également à la fiabilité de nos Smart Locks. Grâce à conservation des données dans l’Union européenne, l’hébergement est soumis à de strictes dispositions en matière de protection des données, qui garantissent la protection élevée des données des utilisateurs.
5. Les Nuki Smart Locks s’installent sur la face intérieure d’une porte existante – personne ne peut donc voir de l’extérieur sauf si une serrure électronique est utilisée. Le Keypad s’installe quant à lui sur l’extérieur de la porte. Les codes peuvent-ils être compromis en cas de vol ?
Les codes d’accès pour le Keypad sont uniquement enregistrés dans la serrure de porte électronique qui est installée sur le côté intérieur de la porte. Si une personne vole le Keypad, cette personne n’est pas en possession des codes utilisés. Même si une personne essayait d’ouvrir le Keypad et de lire, par exemple, les zones de mémoire interne du Keypad, cela ne serait pas possible. La lecture est protégée contre la manipulation. Le journal d’activité de la Smart Lock offre une sensation supplémentaire de sécurité : cela permet de retracer chaque action de la Smart Lock, mais aussi de la Smart Door et de l’Opener. Le journal d’activité enregistre l’heure, l’utilisateur et la fonction utilisée. Il existe par ailleurs la possibilité d’être informé par notification push dès que quelqu’un bloque un appareil Nuki.
6. Les risques et les menaces en termes de cybersécurité évoluent très rapidement. Comment réagit Nuki à cette situation ?
Un avantage important de nos Smart Locks est la possibilité d’exécuter des mises à jour de sécurité via une connexion en ligne. L’utilisateur reçoit ainsi automatiquement des mises à jour et peut toujours maintenir les fonctions de sécurité au niveau le plus actuel de la technologie. Les failles de sécurité sont refermées et les nouvelles menaces sont repoussées en toute fiabilité. Que ce soit volontaire ou non, si la Nuki Smart Lock est hors ligne, l’appli pour smartphone offre la possibilité d’installer les dernières mises à jour manuellement. L’appli vérifie régulièrement si des mises à jour sont disponibles, et en informe les utilisateurs de manière proactive. Grâce à leur actualisation régulière et à l’utilisation
d’applis pour les mises à jour de sécurité, les Nuki Smart Locks sont ainsi des solutions modernes et sûres en termes de sécurité de porte. Les serrures de porte électroniques s’adaptent continuellement aux nouvelles exigences de sécurité et offrent ainsi une protection fiable.
7. En tant que client, que puis-je faire de plus pour que ma Smart Lock soit aussi sécurisée que possible ?
La sécurité des applis de smartphone correspondantes, qui sont offertes dans différents magasins d’applications (par ex. Apple App-Store, Google Play Store, Huawei AppGallery) est un aspect central de la sécurité des Smart Locks. Ces magasins ont leurs propres mécanismes de sécurité afin d’assurer que seules des applis fiables et sûres soient publiées. Malgré ces mécanismes de sécurité, il est important que les utilisateurs ne téléchargent leurs applis pour Smart Lock que depuis des sources fiables. Le téléchargement d’applis depuis des sources non sécurisées ou inconnues peut s’accompagner de risques considérable. Les sources de ce type peuvent contenir des logiciels potentiellement nocifs, qui exploitent des failles de sécurité ou volent des données à caractère personnel.
8. C’est une chose de s’imposer des normes élevées au niveau de la sécurité et de la protection des données. C’en est une autre de faire contrôler ces normes par des bureaux indépendants, externes. Quelle route prend Nuki ici ?
Depuis la première génération, nous faisons certifier nos Smart Locks par l’institut indépendant AV-TEST en tant que « Produit IoT sûr ». Nous sommes fiers de recevoir régulièrement ces certifications depuis déjà plusieurs années et de démontrer ainsi le haut niveau de sécurité continu – à nouveau d’ailleurs pour notre quatrième génération de Smart Lock.
Nous avons par ailleurs le plaisir d’avoir obtenu une certification particulièrement prestigieuse cet été pour notre « Ultion Nuki », un produit commun avec notre partenaire britannique Brisant Secure, explicitement pour le marché britannique.
Le « BSI Kitemark for the Internet of Things » atteste également que la sécurité physique et numérique de cette Smart Lock satisfait aux normes les plus élevées.
9. Quel niveau de transparence est appliqué par Nuki concernant les potentielles failles de sécurité ?
En tant que l’un des rares fabricants de Smart Locks, nous avons divulgué une grande partie de nos API. Cela permet aux développeurs de contrôler l’architecture de sécurité de notre serrure de porte électronique et d’exclure les points faibles. Cette transparence garantit que les technologies utilisées correspondent aux normes de sécurité actuelles et protègent contre les attaques potentielles. La divulgation responsable (responsible disclosure) et les programmes de prime aux bogues (bug-bounty) sont des éléments importants supplémentaires de notre stratégie de sécurité. Les chercheurs en sécurité ont la possibilité de signaler directement à Nuki les points faibles avant que ces derniers soient rendus publics. Nous sommes ainsi en mesure de prendre rapidement des mesures et de fermer les failles de sécurité. Un programme de prime aux bogues offre également des incitations financières à trouver et à signaler les points faibles. Toutes ces précautions au sens de la transparence offrent une contribution décisive à une amélioration continue de nos mesures de sécurité.
10. Que signifient l’EU Cyber Security Act (CSA) et le Cyber Resilience Act (CRA) pour les appareils IoT et Nuki ?
Le CSA et le CRA représentent des jalons pour la sécurité des appareils IoT. Ces ordonnances ont été adoptées en 2023 et en 2024 par le Parlement de l’Union européenne. Le Cyber Security Act entrera en vigueur au 1er août 2025, le Cyber Resilience Act à partir de 2027. Les deux actes juridiques ont pour objectif d’assurer une encore plus grande sécurité pour les appareils IoT dans l’UE et de renforcer la confiance dans cette technologie. Nuki satisfait aujourd’hui déjà à toutes les principales caractéristiques du CSA et du CRA.
