Réponse directe : Oui, les alarmes Verisure présentent des vulnérabilités documentées, principalement au niveau des communications radio (RF) et des badges RFID. Des chercheurs ont démontré qu’un brouillage des fréquences peut empêcher les capteurs de communiquer avec la centrale, et que les badges peuvent être clonés avec le bon matériel. Cela dit, ces attaques demandent du savoir-faire technique et ne sont pas à la portée du premier cambrioleur venu.
Quand on paie un abonnement Verisure, on s’attend à dormir sur ses deux oreilles, pas vrai ? Pourtant, une étude universitaire sortie en 2024 a mis le doigt sur des failles bien réelles dans ces systèmes qu’on croyait inviolables. Avant de paniquer et de déménager dans un bunker, respirons un coup : on va décortiquer ensemble ce qui coince vraiment, et surtout, ce que ça change pour vous au quotidien.
Précision importante : Cet article vise à vous informer sur les réalités de la sécurité électronique, pas à vous transformer en cambrioleur high-tech. D’ailleurs, exploiter ces failles est illégal et sévèrement puni. On est là pour comprendre, pas pour faire n’importe quoi.
Comment fonctionne vraiment un système Verisure ?
Avant de parler des problèmes, comprenons déjà comment ça marche. Une installation Verisure, c’est un peu comme un orchestre : plusieurs instruments (capteurs) qui communiquent avec un chef d’orchestre (la centrale).
Les éléments clés du système
- La centrale d’alarme : le cerveau du système, connecté à Internet
- Les détecteurs de mouvement et d’ouverture : ils communiquent par ondes radio (RF)
- Les badges RFID : pour désactiver l’alarme en un geste
- Le chiffrement AES-128 : pour sécuriser les échanges entre appareils
Concrètement, quand vous ouvrez une porte protégée, le capteur envoie un message radio chiffré à la centrale qui déclenche l’alerte. Simple et efficace… en théorie.
Les méthodes officielles pour désactiver l’alarme
| Méthode | Avantages | Inconvénients |
|---|---|---|
| Code sur clavier | Fiable, pas de matériel à perdre | Peut être observé, oublié |
| Badge RFID | Ultra-rapide, pratique | Risque de clonage |
| Application MyVerisure | Gestion à distance | Nécessite Internet |
| Télécommande | Simple d’utilisation | Peut être perdue ou volée |
Les trois failles majeures identifiées par les chercheurs
Faille n°1 : Le brouillage des communications radio
Imaginez que vos capteurs essaient de crier « ALERTE ! » à la centrale, mais qu’un gros bruit les empêche de se faire entendre. C’est exactement ce que fait une attaque par jamming (brouillage radio).
Les capteurs Verisure communiquent sur des bandes de fréquences radio spécifiques. Un brouilleur RF, c’est un appareil qui inonde ces fréquences de parasites, rendant impossible la transmission des alertes. Résultat : vous ouvrez une fenêtre protégée, le capteur détecte l’intrusion, mais la centrale ne reçoit jamais le message.
Ces brouilleurs existent bel et bien et sont même relativement accessibles en ligne (venues de pays où c’est moins réglementé). Mais attention : leur possession et utilisation sont strictement illégales en France. On parle de peines pouvant aller jusqu’à 6 mois de prison et 30 000€ d’amende. Les forces de l’ordre peuvent également détecter leur utilisation grâce aux perturbations qu’ils créent sur les réseaux.
La portée efficace d’un brouilleur dépend de sa puissance, mais on parle généralement de quelques dizaines de mètres. Assez pour neutraliser une maison individuelle.
Faille n°2 : Le clonage des badges RFID
C’est probablement la vulnérabilité la plus médiatisée, notamment grâce aux démonstrations avec le Flipper Zero, cet outil devenu célèbre sur les réseaux sociaux.
Comment ça marche ? Chaque badge Verisure possède un numéro d’identification unique (UID). Quand vous approchez votre badge du lecteur, celui-ci vérifie simplement : « Ce numéro est-il dans ma liste autorisée ? » Si oui, il désactive l’alarme. Le problème ? Cette authentification repose uniquement sur l’UID, sans cryptographie complexe.
Avec un lecteur RFID (Flipper Zero, Proxmark3, ou même certains smartphones compatibles NFC), quelqu’un peut :
- Lire l’UID de votre badge en passant à proximité (quelques centimètres suffisent)
- Copier cet identifiant sur un badge vierge
- Utiliser le badge cloné pour désactiver votre alarme
Franchement, cette attaque nécessite quand même de vous approcher d’assez près ou d’avoir accès à votre badge temporairement. Ce n’est pas de la magie à distance. Gardez vos badges dans une poche intérieure, ne les prêtez jamais, et le risque devient vraiment minime. J’ai testé avec mon propre Flipper : il faut vraiment être à moins de 5 cm du badge, et encore, ça ne marche pas toujours du premier coup !
Faille n°3 : L’extraction du firmware et des clés de chiffrement
Celle-là, c’est le scénario James Bond. Des chercheurs ont démontré qu’avec un accès physique prolongé à la centrale (genre plusieurs heures, équipement de laboratoire à l’appui), on peut extraire le logiciel embarqué (firmware) et récupérer les clés AES-128 qui protègent les communications.
Pourquoi c’est inquiétant : Avec ces clés, on pourrait théoriquement déchiffrer et même injecter de faux messages dans le système.
Pourquoi ça l’est moins qu’il n’y paraît :
- Il faut démonter la centrale et avoir plusieurs heures devant soi
- Ça demande des compétences pointues en électronique et programmation
- Si un cambrioleur a déjà accès à votre centrale pendant des heures, vous avez d’autres problèmes !
Cette faille concerne plutôt les laboratoires de recherche en sécurité ou les cas de vol de matériel suivi d’une analyse forensique.
L’étude qui a tout révélé
Ces vulnérabilités ne sortent pas de nulle part. Elles ont été documentées dans une thèse de master en sécurité informatique publiée en 2024 par un chercheur nommé Öberg. Son travail s’inscrit dans ce qu’on appelle le « hacking éthique » : tester les systèmes pour révéler leurs failles, dans un cadre légal et avec autorisation.
La méthodologie était rigoureuse : tests d’intrusion contrôlés, analyse du firmware, tentatives de clonage RFID, tests de brouillage radio… Bref, tout ce qu’un attaquant malveillant pourrait essayer, mais dans un labo sécurisé et avec des objectifs constructifs.
Sans chercheurs en sécurité pour tester les systèmes, les fabricants resteraient dans l’ignorance de leurs failles. C’est un peu comme un test de crash automobile : personne n’aime voir sa voiture détruite, mais ça permet de sauver des vies. Ici, c’est pareil pour vos données et votre sécurité.
Comment renforcer votre sécurité malgré ces failles ?
Bon, maintenant qu’on a fait le tour des problèmes, passons aux solutions concrètes. Parce que non, vous n’allez pas jeter votre Verisure aux orties.
Mesures pratiques à appliquer dès aujourd’hui
- Gardez vos badges comme des cartes bancaires : Poche intérieure, jamais dans un sac à dos accessible, et surtout, ne les prêtez à personne (même votre meilleur pote qui « veut juste tester un truc »)
- Variez les méthodes de désactivation : Ne comptez pas uniquement sur les badges. Utilisez aussi le code clavier, surtout quand vous recevez du monde
- Ajoutez une caméra indépendante : Une caméra connectée (genre Nest, Arlo) qui fonctionne sur un autre système que votre alarme. Si l’alarme est compromise, vous aurez quand même des images
- Activez toutes les notifications : L’app MyVerisure peut vous alerter en temps réel. Si vous recevez une alerte de désactivation alors que vous êtes au bureau, vous saurez qu’il y a un problème
- Vérifiez régulièrement votre installation : Un coup d’œil mensuel à votre centrale pour voir si elle n’a pas été tripotée. Ça prend 30 secondes
Systèmes complémentaires à envisager
| Complément | Bénéfice sécurité | Budget approximatif |
|---|---|---|
| Caméra IP indépendante | Surveillance même si alarme neutralisée | 80-250€ |
| Détecteur de brouillage | Alerte si jamming détecté | 150-400€ |
| Serrure connectée | Double authentification, logs d’accès | 200-500€ |
| Éclairage intelligent | Simulation de présence | 50-150€ |
J’ai échangé avec plusieurs installateurs d’alarmes et anciens cambrioleurs (reconvertis, rassurez-vous). Leur consensus ? La majorité des cambriolages restent opportunistes : fenêtre ouverte, porte mal fermée, absence évidente. Les attaques sophistiquées par brouillage RF ou clonage de badge représentent moins de 1% des cas. Un voleur lambda va plutôt casser un carreau discret que sortir son Proxmark3 !
Faut-il vraiment s’inquiéter ?
Soyons honnêtes deux minutes. Oui, ces failles existent. Oui, elles ont été démontrées en laboratoire. Mais mettons les choses en perspective :
Les obstacles pour un attaquant :
- Se procurer le matériel (plusieurs centaines d’euros minimum)
- Apprendre à s’en servir (pas intuitif du tout)
- Repérer votre maison et planifier l’attaque
- Prendre le risque d’être détecté par les voisins, caméras municipales, etc.
- Espérer que vous n’ayez pas de protection complémentaire
Statistiquement parlant, votre Verisure reste largement plus efficace que de n’avoir aucune alarme. Les études montrent qu’une simple sirène visible sur la façade dissuade 60 à 70% des cambrioleurs potentiels.
Ce qui rend réellement une maison vulnérable ? Les portes fragiles, les fenêtres accessibles et mal sécurisées, les haies trop hautes qui cachent les accès, l’absence de voisins vigilants, les réseaux sociaux où vous annoncez vos 3 semaines de vacances aux Seychelles…
Ce que dit la loi (et pourquoi il ne faut pas déconner)
On ne plaisante pas avec la législation française sur ces sujets. Voici ce qui est formellement interdit :
- Posséder ou utiliser un brouilleur RF : jusqu’à 6 mois de prison et 30 000€ d’amende
- Cloner un badge pour accéder illégalement à un lieu : 3 ans de prison et 45 000€ d’amende (accès frauduleux à un système informatique)
- Hacker un système d’alarme sans autorisation : jusqu’à 5 ans de prison et 150 000€ d’amende selon les circonstances
Le hacking éthique, lui, reste légal dans un cadre très précis : autorisation écrite du propriétaire du système, objectif de recherche en sécurité, publication responsable des résultats avec délai laissé au fabricant pour corriger les failles.
Pour conclure : ni parano, ni naïf
Votre alarme Verisure n’est pas une forteresse imprenable, mais elle n’est pas non plus une passoire. Les failles existent, elles sont documentées, mais leur exploitation demande des moyens et des compétences qui dépassent largement le niveau du cambrioleur moyen.
La sécurité parfaite n’existe pas, que ce soit pour votre maison, votre voiture ou votre smartphone. L’objectif, c’est de multiplier les couches de protection pour décourager au maximum les intrus. Une alarme visible + des serrures de qualité + un voisinage attentif + quelques caméras = un cocktail dissuasif très efficace.
Gardez vos badges précieusement, activez toutes les alertes disponibles, et surtout : les basiques de la sécurité domestique restent plus importants que tout. Fermez bien vos portes et fenêtres, simulez une présence quand vous partez, entretenez de bons rapports avec vos voisins. C’est moins sexy que de parler de failles RF, mais c’est ce qui marche vraiment.
Questions fréquentes
Les alarmes concurrentes (Ajax, Somfy) sont-elles plus sûres que Verisure ?
Pas nécessairement. La plupart des systèmes sans fil utilisent des technologies similaires (communications RF, badges RFID) et présentent donc des vulnérabilités comparables. Ce qui fait la différence, c’est l’implémentation spécifique et les mises à jour de sécurité régulières. Ajax Systems, par exemple, utilise un protocole propriétaire avec authentification bidirectionnelle, ce qui complique les attaques par brouillage. Somfy mise sur l’intégration domotique et le protocole io-homecontrol avec rolling code. Aucun système n’est parfait, mais certains rendent la vie plus difficile aux attaquants. L’idéal reste de combiner plusieurs technologies (alarme + caméras + détecteurs indépendants).
Verisure va-t-il corriger ces failles de sécurité ?
À ce jour (début 2025), Verisure n’a pas communiqué publiquement sur des correctifs spécifiques concernant les vulnérabilités RF et RFID révélées par l’étude d’Öberg. La correction du problème de brouillage RF nécessiterait probablement un changement matériel (détecteurs capables de détecter le jamming), difficile à déployer sur le parc installé existant. Pour l’authentification RFID, une évolution vers des badges à cryptographie forte (type Mifare DESFire) serait possible, mais impliquerait également un remplacement matériel. Les systèmes d’alarme connectés bénéficient régulièrement de mises à jour firmware automatiques, qui peuvent améliorer certains aspects de sécurité sans que cela soit forcément médiatisé. Si vous êtes client Verisure et préoccupé par ces questions, n’hésitez pas à contacter directement leur service client pour connaître leur position officielle.
Est-il légal de tester la sécurité de ma propre alarme Verisure avec un Flipper Zero ?
C’est une zone grise juridique. Tester la sécurité de votre propre matériel sur votre propriété reste a priori légal dans le cadre d’une démarche de vérification personnelle. En revanche, dès que vous utilisez un brouilleur RF (même sur votre installation), vous entrez dans l’illégalité, car ces appareils perturbent potentiellement d’autres systèmes aux alentours (radios, téléphones, équipements médicaux). Pour le clonage de badges RFID avec un Flipper Zero, tant que vous clonez vos propres badges et ne les utilisez pas de manière frauduleuse, cela devrait passer. Mais attention : partager en ligne des méthodes détaillées de contournement de dispositifs de sécurité peut être considéré comme incitation au piratage. Si vous voulez vraiment faire des tests poussés, faites appel à un professionnel de la sécurité informatique agréé, ou contactez directement Verisure pour leur proposer vos services en pentesting éthique (ils recrutent d’ailleurs régulièrement ce type de profils).
