L'affaire a agité le petit monde des cyclistes : un média anglophone pensait avoir trouvé un moyen de voler très facilement un vélo VanMoof, réputé inviolable. Mais il s'est avéré que le hack n'a aucun sens.

Tout est parti d’un article publié à la fin du mois de juillet sur le site de Digital Trends : en se penchant sur le discours de la société hollandaise VanMoof, qui affirme que ses vélos bénéficient d’une protection antivol suffisamment robuste pour dissuader tout larcin, le site pense avoir trouvé, après signalement d’un tiers (mais qui a souhaité rester anonyme) un bug critique en examinant un exemplaire du VanMoof Electrified S2, un vélo électrique très haut de gamme.

Le vélo Electrified S2 de VanMoof. // Source : Léa Hamadi pour Numerama

L’intérêt de Digital Trends pour cette bicyclette était tout à fait justifié. Après tout, cette firme ne dit-elle pas que ses produits « sont conçus pour dissuader les voleurs par tous les moyens possibles » ? Et qu’elle estime avoir inventé « un vélo presque impossible à voler » grâce à une succession de dispositifs ? Face à la grande confiance affichée par la marque, il est normal de se pencher sur les protections du vélo et s’assurer que le discours concorde avec ce qui est effectivement proposé.

Bien entendu, la réalité est toujours un peu différente des proclamations publicitaires. La preuve : VanMoof a quand même prévu une option payante qui propose aux clients qui s’inquiètent de ce genre d’exaction de traquer et retrouver les voleurs par une équipe dédiée (avec la promesse de remettre la main dessus en deux semaines, sinon vous en recevrez un autre en guise de dédommagement). Pour autant, est-ce à dire que les vélos VanMoof peuvent être dérobés facilement ?

Un vélo facile à voler. Ou pas.

C’est ce qu’a cru voir Digital Trends : la faille de sécurité que le site a pensé dénicher serait si critique et si simple à mettre en œuvre que l’auteur a décidé d’intituler son article : « ce vélo électrique à 3 000 dollars serait impossible à voler. On l’a dérobé en 60 secondes ». Impressionnante découverte, est-on tenté de dire. Sauf que depuis le début du mois d’août, il n’est plus possible d’accéder à l’article en question. Seule une copie peut encore être lue en cache.

Désormais, en lieu et place du sujet initial figure une toute autre publication, qui a tous les atours d’un rétropédalage en bonne et due forme. Le titre, d’ailleurs, ne laisse pas la moindre place à l’ambiguïté : « Nous avions tort  », admet Digital Trends. «  Les vélos électriques VanMoof ne sont pas si faciles à voler ». Et d’ajouter que le site a préféré retirer son sujet après avoir constaté qu’il lui a été impossible de reproduire le hack. Mais alors, qu’est-ce qui a pu se passer ?

La boutique VanMoof à Paris. // Source : Numerama

Les protections n’étaient pas actives

Contacté par Numerama, VanMoof nous explique que le problème de fond réside dans une incompréhension du fonctionnement de système antivol protégeant le S2. « Ce que nous avons observé dans la vidéo [tournée par Digital Trends pour illustrer son sujet], c’est que le vélo n’avait pas été configuré pour que l’alarme se déclenche et / ou que le vélo n’avait pas été verrouillé ». Or, il est nécessaire de procéder au préalable à quelques paramétrages du vélo pour que l’antivol donne son plein potentiel.

Ainsi, le propriétaire du vélo doit se connecter à son application mobile pour activer le système d’alarme et verrouiller le vélo quand il n’est pas utilisé. Une fois ceci fait, il y a un blocage électronique au niveau de la roue arrière qui se met en place. « À partir de ce moment, le vélo est protégé : tout déplacement provoquera l’activation de l’alarme et le système de tracking [via une carte SIM placée dans l’engin, ndlr] s’enclenchera si le vélo est volé », précise VanMoof.

« Ce vélo n’avait pas été configuré pour que l’alarme se déclenche »

À l’occasion de notre test, nous avions eu l’occasion de décrire le fonctionnement de cette alarme : nous écrivions alors que l’alarme, puissante, fait effet de repoussoir lors des premiers coups de semonce : elle grogne pour dire à un individu mal intentionné que le vélo est protégé. Ensuite, elle montera en intensité jusqu’à sonner, fort, pendant qu’une tête-de-mort s’affiche sur l’écran du vélo qui va faire flasher tout ce qu’il peut. Autant le dire tout de suite : un vol peut toujours avoir lieu, mais il risque de ne pas passer inaperçu.

La marque ajoute que son antivol couvre aussi les tentatives de bidouillage du vélo, qu’il s’agisse du retrait de la carte SIM ou du système central du vélo. Dans les deux cas de figure, la roue arrière demeurera bloquée et le moteur électrique ne s’enclenchera pas. De plus, en fonction de la nature de manipulation qui est exécutée sur le vélo, soit l’alarme se déclenche, soit l’unité centrale se verrouille.

L’affaire se dégonfle

« Nous avons apporté des réponses et le site a depuis diffusé un rectificatif, indiquant que le vélo qu’ils avaient testé présentait a priori un défaut de fonctionnement », nous précise encore un responsable de VanMoof (mise à jour : aujourd’hui, VanMoof considère qu’il n’y avait pas de défaut de fonctionnement en tant quel, ndlr). « Nous sommes toujours en train d’échanger avec le site pour comprendre comment cela a pu leur échapper pendant le test, mais l’article rectificatif est déjà en ligne ». De l’aveu même de Digital Trends, ils ont omis de contacter la société avant publication pour avoir leur retour.

Pour montrer le fonctionnement du mécanisme antivol même en cas de retrait de la carte SIM, VanMoof a mis en ligne dès le 29 juillet une vidéo. Un article a également été publié. « Ce que cet ‘expert en sécurité’ démontre est en fait une caractéristique du vélo. Lorsqu’il est déverrouillé, les alarmes ne sonnent pas et le verrou ne se ferme pas. C’est ainsi que les réparateurs peuvent travailler sur le vélo sans devenir sourds et enlever la roue arrière pour remplacer le pneu si nécessaire », note l’entreprise.

« Oui, il est possible de retirer l’unité centrale et la carte SIM  », poursuit-elle. En fait, cette simplicité est même recherchée pour que chaque propriétaire puisse la retirer lui-même si besoin, par exemple en cas de remplacement du module. Mais lors du test, « le soi-disant expert en sécurité n’avait pas verrouillé le vélo ni activé les alarmes à bord ». En somme, c’est comme si l’on se vantait d’avoir volé le contenu d’un coffre-fort dont la porte n’aurait pas été préalablement fermée.

(sujet mis à jour le 7 août avec un ajout précisant qu’il n’y a pas, selon VanMoof, de défaut particulier dans le vélo testé par Digital Trends)

Partager sur les réseaux sociaux