Chers utilisateurs,

Nous rencontrons actuellement des ralentissements sur nos serveurs pouvant impliquer des difficultés à vous connecter à Tahoma et Somfy Protect.

Nos équipes sont actuellement dédiées à la résolution de ce problème et nous vous tiendrons informés de l’avancement de la situation via ce bandeau d’information.

Veuillez nous excuser pour la gêne occasionnée et nous vous remercions pour votre compréhension.

L’équipe des Yellow’s SOMFY  

Cette question a été résolue

Sécurité serrure connectée

Bonjour,

Cela fait quelques temps que je lorgne sur Okidokeys et j'attendais que SOMFY reprenne et propose ce produit sous sa propre marque...
Maintenant que la serrure est commercialisée, un dernier point me retient : la sécurité. Somfy (et Okidokeys auparavant) parle d'un cryptage AES 256bits. C'est bien, encore faut-il que la clé de cryptage (i.e. le mot de passe utilisé pour crypter les échanges Bluetooth entre la serrure et le téléphone) soit sécurisée (et aussi modifiable par l'utilisateur). Or plusieurs articles de presse pointent sur des études indiquant que la fameuse clé est statique (codée en dure dans le firmware) et donc facilement attaquable puisque non changeable !
Voici quelques pointeurs :
==> https://www.le-vpn.com/fr/smart-home-serrures-connectees-...
==> http://www.usine-digitale.fr/article/smart-home-les-serru...
et si vous voulez un peu plus de technique le papier du Defcon est assez édifiant (slide 16 puis 24 et 25) : https://media.defcon.org/DEF%20CON%2024/DEF%20CON%2024%20...

Donc cette question s'adresse en particulier aux Yellows : Est-ce que les équipes de SOMFY ont corrigé cette faiblesse ?

Merci pour votre retour,
Antoine.

Antoine H.
Antoine H.

Antoine H.

Niveau
2
1269 / 2000
points
  • Partager cette question
    Martial V.
    Martial V.

    Martial V.

    Niveau
    4
    5000 / 5000
    points
    Equipe

    Bonjour Antoine,

    il est effectivement délicat de communiquer ouvertement sur les modifications que nous avons apportées, toutefois voici un complément d'information:

    l’équipe Somfy a apporté au système de serrures connectées les solutions techniques et software nécessaires à assurer une meilleure sécurité. Somfy a garanti un meilleur respect des « best practices » du métier et une modification de l’application du cryptage.

    Bonne journée

    Cette réponse vous a-t-elle aidé ?

    Non (3)

    Oui (2)

    40%

    40% des internautes ont trouvé cette réponse utile

    Les autres réponses

    Robert P.
    Robert P.

    Robert P.

    Niveau
    4
    5000 / 5000
    points

    Bonjour,
    Je ne suis pas certain que les Yellows vous donneront une réponse concernant le codage, attendons leur réponse.
    La mienne est qu'il s'agit d'une serrure "fonctionnelle" et pas d'une serrure de "sûreté".
    Si vous voulez une serrure de sûreté, ne prenez pas une serrure connectée, prenez plutôt une serrure et un cylindre certifiés NF A2P *** (3 étoiles), le tout installé sur une porte blindée, correctement scellée dans un mur solide, équipée de cornière anti-pince, renforts de gonds etc. le tout réalisé par un vrai professionnel.
    On n'est plus dans le même monde et le même budget...

    sebastien W.
    sebastien W.

    sebastien W.

    Niveau
    0
    13 / 100
    points

    Bonjour,

    Amusant j'allais poser la meme question.
    On ne parle pas ici selon moi de disposer d'un coffre fort mais de s'assurer que la serrure résiste au moins aussi bien a une agression numérique qu'a une agression physique, ce qui n'est pas le cas si on se réfère a la conférence d'Econocom sur le sujet.
    La sécurité absolue n'existe pas, mais il y a des erreurs "de base" facile à corriger.
    Par exemple rendre la clé de chiffrement aléatoire est un quickwin ...

    bien cordialement

    Robert P.
    Robert P.

    Robert P.

    Niveau
    4
    5000 / 5000
    points

    Tout à fait d'accord Sébastien :
    Assurer un niveau de sûreté "de base" pour une serrure "fonctionnelle".
    Après tout il ne s'agit que d'un cylindre Européen.

    Antoine H.
    Antoine H.

    Antoine H.

    Niveau
    2
    1269 / 2000
    points

    Merci Sébastien, le propos de ma question porte bien sur la sécurité logique (i.e. logicielle) de la serrure (qui ne semble pas à la hauteur de ce que l'on peut attendre d'une telle solution).
    Je ne faisais aucune allusion à la sécurité physique de la porte et/ou du cylindre qui est un autre sujet.

    En effet, la conférence Econocom (http://www.linformaticien.com/actualites/id/39305/serrure...) appuie encore les recherches présentées au Defcon.

    Est-ce que SOMFY peut nous "rassurer" sur ce sujet ?

    Guillaume
    Guillaume

    Guillaume

    Niveau
    0
    45 / 100
    points

    L'absence de réponse est évidemment inquiétante et me retient - sans doute comme beaucoup - d'adopter en l'état cette solution.

    Est-ce que Somfy pourrait au-moins confirmer qu'ils travaillent à des correctifs qui permettront de résoudre ces problèmes, y compris sur une serrure qui serait installée aujourd'hui, et si oui dans quel délai approximatif?

    Merci par avance

    Michael M.
    Michael M.

    Michael M.

    Niveau
    0
    24 / 100
    points

    Je suis du même avis, le manque de réponse et de transparence sur le sujet ne me donne pas envie d'acheter votre produit.

    Martial V.
    Martial V.

    Martial V.

    Niveau
    4
    5000 / 5000
    points
    Equipe

    Bonjour à tous,

    Je peux vous informer que des modifications ont étés effectués afin d'améliorer la sécurité de ce produit.

    Bonne Journée

    Antoine H.
    Antoine H.

    Antoine H.

    Niveau
    2
    1269 / 2000
    points

    Bonjour,
    Merci Martial pour ce premiere retour. Serait-il toutefois possible d'avoir quelques informations complémentaires sur ces modifications ?
    Je comprends que vous ne pouvez pas trop en dire car il s'agit d'un sujet "sensible" mais votre réponse reste assez vague tout de même...

    Merci.

    Antoine H.
    Antoine H.

    Antoine H.

    Niveau
    2
    1269 / 2000
    points

    Bonjour Martial,

    Merci pour vos précisions... Gageons donc que Somfy à fait le nécessaire !
    Je me permets une dernière question : si je me souviens bien du produit tel qu'il était proposé par Okidokey, la serrure s'ouvrait "automatiquement" lorsque nous approchions de de la porte avec le smartphone (ce qui en faisait une sorte de serrure "main libre"). Par contre, il me semble que dans ce nouveau produit revu et corriger par Somfy, une action sur l'appli du smartphone est obligatoire (ou alors on utilise les badges sans contact). Qu'en est-il vraiment ?

    Merci (et bonnes fêtes)

    Martial V.
    Martial V.

    Martial V.

    Niveau
    4
    5000 / 5000
    points
    Equipe

    Bonjour Antoine,

    effectivement cette fonction n'étant pas fiable ni stable nous avons préféré la désactiver sur le serveur Somfy.
    je ne peux malheureusement pas vous dire si nous la réactiverons.

    Bonne journée et Bonne fête de fin d'année à vous aussi

    Antoine H.
    Antoine H.

    Antoine H.

    Niveau
    2
    1269 / 2000
    points

    Bonjour,

    Merci pour vos précisions.

    Laurent M.
    Laurent M.

    Laurent M.

    Niveau
    0
    47 / 100
    points

    Bonjour,

    je tombe aujourd'hui sur cette question.
    Utilisateur de la solution Okidokeys depuis leur début, après lecture de la page la question qui en découle : Somfy a repris l'existant concernant Okidokeys, le bon et le moins bon, mais par conséquent le parc existant de serrures achetés par les clients qui ont été basculées sur les serveurs Somfy, à ce titre, quelle position Somfy adopte par rapport aux serrures des clients Okidokeys sur lesquelles la clé est codée en dur ?
    Concernant le dé/verouillage automatique, fonctionnalité perdue au passage sur les serveurs Somfy, le statut n'est pas clair non plus : le support Somfy se terre depuis des mois sur la réponse consistant à dire qu'ils n'ont pas d'informations si cette fonctionnalité reviendra ou non, un jour il va bien falloir prendre une décision qu'elle soit positive ou négative !

    Laurent

    Ludovic B.
    Ludovic B.

    Ludovic B.

    Niveau
    2
    804 / 2000
    points

    A noter que la serrure okidokey fait partie des serrures testées lors du defcon 2016 (conférence de hackers) et que la serrure okidokey fait partie de celles qui ont été hackées.

    Or, compte tenu des faiblesses identifiées et des risques qui en découlent, il est difficile de croire "sur parole" les propos rassurants de somfy...

    Le compte rendu du test est disponible ici : https://media.defcon.org/DEF%20CON%2024/DEF%20CON%2024%20...

    Bonjour Ludovic,

    Libre à vous de penser ce que vous voulez, nous avons apportées des modifications en termes de sécurité sur les serrures depuis le DEFCON 2016 vous garantissant une sécurité optimal de votre produit.

    Maintenant, si vous souhaitez ne pas croire ce que dit Somfy, quel est l'intérêt devenir sur le forum officiel demander des informations.

    Quoiqu'il en soit je clos ce sujet qui n'est plus d'actualité et qui n'a plus aucun intérêt à être alimenter si ce n'est pour créer un polémique inexistante sous peine qu'on ait envie ou non de croire ce que nous disons.

    Bonne journée,

    Ludovic B.
    Ludovic B.

    Ludovic B.

    Niveau
    2
    804 / 2000
    points

    Pas de volonté de ma part de créer la polémique mais, de manière générale et a fortiori lorsqu'il s'agit de produits sensibles, je ne vois pas pourquoi je devrais avoir une confiance aveugle en ce que me "raconte" un vendeur.

    Je ne fais qu'exprimer une inquiétude et cela devrait être perçue comme un indicateur de mon intérêt. C'est un basique de la relation commerciale.

    Une réponse plus constructive eut été, par exemple, de présenter les certifications obtenues auprès d'organismes indépendants : https://www.domo-blog.fr/serrure-connectee-de-somfy-devie...

    Robert P.
    Robert P.

    Robert P.

    Niveau
    4
    5000 / 5000
    points

    Il ne faut pas non plus croire tout ce qu'on lit sur les blogs et les forums...

    Robert P.
    Robert P.

    Robert P.

    Niveau
    4
    5000 / 5000
    points

    ni même sur les réseau sociaux... :)

    Haut de page