Accueil » Comprendre Z-Wave » Z-Wave S2 : comprendre le système de sécurité du protocole

Z-Wave S2 : comprendre le système de sécurité du protocole

La sécurité est souvent présentée comme un atout majeur de Z-Wave. Mais concrètement, que signifie « chiffrement AES-128 » ? Comment fonctionne l’inclusion sécurisée S2 ? Et pourquoi le code DSK est-il si important ? Ce guide démystifie la sécurité Z-Wave.

Pourquoi la sécurité est critique en domotique

Connecter sa serrure de porte, son alarme ou ses volets roulants à un système domotique représente un enjeu de sécurité réel. Un système domotique non sécurisé expose à deux types de risques : l’écoute passive (un attaquant capte vos communications pour apprendre vos habitudes, déduire quand vous êtes absent) et l’injection de commandes (un attaquant émet des commandes falsifiées pour ouvrir votre serrure ou désarmer votre alarme).

Z-Wave a adressé ces deux risques dès ses premières versions, et a considérablement renforcé sa sécurité avec l’introduction de S2 (Security 2) en 2017, devenu le standard obligatoire pour tous les nouveaux appareils certifiés Z-Wave.

L’historique de la sécurité Z-Wave

  • Z-Wave S0 (avant 2017) : première génération de sécurité. Elle utilisait déjà le chiffrement AES-128, mais souffrait d’une vulnérabilité significative : les clés de chiffrement étaient échangées en clair lors de l’inclusion. Un attaquant présent au moment de l’inclusion pouvait capturer les clés et déchiffrer toutes les communications futures. Ce problème a été résolu avec S2.
  • Z-Wave S2 (depuis 2017) : deuxième génération, obligatoire depuis 2019 pour toute certification Z-Wave. Elle corrige les vulnérabilités de S0 grâce à un échange de clés sécurisé basé sur ECDH (Elliptic Curve Diffie-Hellman) et l’authentification par DSK.

Bonne pratique : si vous avez des appareils Z-Wave anciens inclus en S0, envisagez de les ré-inclure en S2 si votre box et l’appareil le supportent.
La procédure est identique à une inclusion standard — exclusion puis re-inclusion avec S2 activé.

Comment fonctionne l’inclusion S2 : le mécanisme expliqué

L’inclusion S2 repose sur un protocole cryptographique à quatre étapes qui garantit que seul le propriétaire légitime peut inclure un appareil dans son réseau, et que les communications restent confidentielles même si un tiers écoute l’échange.

  1. Négociation des capacités : lors de l’inclusion, l’appareil et le contrôleur négocient les niveaux de sécurité supportés. Z-Wave S2 définit trois classes de sécurité — S2 Unauthenticated, S2 Authenticated et S2 Access Control (réservée aux serrures et accès physiques).
  2. Échange de clés ECDH : l’appareil et le contrôleur génèrent chacun une paire de clés cryptographiques (publique et privée) et échangent leurs clés publiques. Grâce à l’algorithme ECDH, ils calculent chacun de leur côté une clé de session partagée — sans jamais l’envoyer sur le réseau radio. Même si un attaquant capture l’échange, il ne peut pas déduire la clé de session.
  3. Authentification par DSK : pour prévenir les attaques de type « man in the middle » (où un attaquant se substitue à l’appareil légitime), l’utilisateur saisit les 5 premiers chiffres du code DSK (Device Specific Key) imprimé sur l’appareil. Le contrôleur vérifie que la clé publique reçue correspond bien à cet appareil physique. C’est cette étape qui authentifie l’appareil.
  4. Distribution de la clé réseau chiffrée : une fois l’authentification validée, le contrôleur transmet la clé réseau Z-Wave à l’appareil, chiffrée avec la clé de session négociée. L’appareil peut désormais communiquer de manière sécurisée avec l’ensemble du réseau.

Le code DSK : comment le lire et l’utiliser

Le DSK (Device Specific Key) est une clé cryptographique unique propre à chaque appareil Z-Wave S2. Elle est générée en usine lors de la fabrication et ne peut pas être modifiée. Elle se présente sous la forme d’une chaîne de 80 bits, représentée en décimal comme 16 groupes de 5 chiffres séparés par des tirets.

Exemple de DSK (format d’affichage) :

12345-67890-11111-22222-33333-44444-55555-66666-77777-88888-99999-00000-12345-67890-11111-22222

Lors de l’inclusion S2, votre box ne demande que les 5 premiers chiffres (ici : 12345). Ces 5 chiffres permettent de vérifier que vous avez l’appareil physique en main — ils ne suffisent pas à déduire la clé complète.

Le code DSK est imprimé sur : l’étiquette collée sur l’appareil, la boîte d’emballage, ou un QR code (format SmartStart) que vous pouvez scanner depuis votre application domotique pour une inclusion encore plus rapide.

Conservez précieusement les boîtes de vos appareils Z-Wave ou photographiez le code DSK au moment de l’installation. En cas de ré-inclusion (après une exclusion ou un déménagement), vous en aurez besoin.

SmartStart : l’inclusion sans manipulation

SmartStart est une fonctionnalité Z-Wave S2 qui permet d’ajouter un appareil à votre réseau sans passer par la procédure d’inclusion classique (activer le mode inclusion sur la box, puis sur l’appareil). À la place, vous scannez le QR code de l’appareil depuis l’interface de votre box, et l’appareil rejoindra automatiquement le réseau à sa prochaine mise sous tension.

Cette fonctionnalité est particulièrement pratique pour les installations de grande envergure (nombreux appareils à inclure) ou pour les intégrateurs professionnels qui souhaitent pré-configurer les appareils avant leur installation sur site. Home Assistant et Jeedom supportent tous deux SmartStart depuis leurs versions récentes.

Produits ZWave qui pourraient vous intéresser