Pirater les clés des chambres d’hôtel ? Facile !
Une chambre d’hôtel offre à la plupart d’entre nous un certain sentiment de sécurité. Nous ne craignons pas d’y laisser nos objets de valeur, lorsque nous partons à la découverte de la ville ou que nous nous rendons à un rendez-vous d’affaires.
Mais vous sentiriez-vous tout aussi en sécurité si vous saviez qu’un individu malintentionné peut ouvrir votre chambre sans la clé, sans laisser de trace ?
Tomi Tuominen et Timo Hirvonen, chercheurs chez F-Secure, ont découvert des défauts de conception significatifs au sein du système de verrouillage intelligent Vision de Vingcard, utilisé par le fabricant de serrures Assa Abloy. Ce système est utilisé par un grand nombre d’hôtels à travers le monde. Lorsqu’ils sont exploités correctement, les défauts de conception révélés permettent d’ouvrir n’importe quelle porte de l’établissement et d’accéder aux zones d’accès restreint.
Comment l’attaque fonctionne-t-elle ?
Le hacker doit d’abord obtenir une carte électronique (RFID ou magstripe) appartenant à l’établissement. N’importe quelle clé fonctionne : elle peut servir à ouvrir une pièce hautement sécurisée ou un placard à balais.
Pire encore, la clé en question n’a pas besoin d’être active – une clé périmée fera tout aussi bien l’affaire. Combien de cartes-clés pensez-vous qu’un hôtel perde chaque année ? Si l’on en croit la collection de Mikko Hypponen, la réponse est : beaucoup.
Après avoir obtenu ladite carte, l’agresseur utilise un petit dispositif matériel facilement dissimulable, lui permettant de créer une clé maîtresse. Préoccupant ? Sans aucun doute. Une fois cette clé créée, il peut ouvrir n’importe quelle serrure de l’établissement, en un clin d’œil. Sésame, ouvre-toi !
Quels sont les hôtels concernés ?
Tous les hôtels utilisant le système logiciel “Vision” sont concernés. Parmi ces hôtels, plusieurs grandes chaînes mondiales, des chaînes hôtelières locales et des sites indépendants.
Il est important de noter qu’Assa Abloy propose d’autres logiciels d’hospitalité mais qu’ils ne sont pas affectés par les mêmes vulnérabilités. Le système de verrouillage concerné reste néanmoins extrêmement répandu : il est plus que probable que le dernier hôtel dans lequel vous avez séjourné soit concerné.
N’importe qui peut-il exploiter ces défauts de conception ?
Tomi et Timo sont les premiers à dire que mener ce type d’attaque est pour le moins ardu. Explorer un système de verrouillage moderne et complexe n’a rien d’évident. Le logiciel et les clés sont encore plus complexes qu’il n’y paraît.
Assa Abloy est un fabricant de serrures très réputé. Ses produits sont généralement considérés comme étant bien conçus. Pour parvenir à les pirater, il faut disposer de connaissances techniques approfondies, d’un temps considérable… et de beaucoup de patience.
Alors, en résumé ? Un individu malintentionné dispose d’autres moyens, sans doute plus faciles et moins coûteux, d’accéder à votre chambre d’hôtel. À notre connaissance, cette méthode de piratage n’a encore jamais été utilisée dans la vie réelle.
Que cela signifie-t-il pour moi ?
Pour assurer la sécurité des clients – et des établissements – nous ne révélerons pas tous les détails relatifs à cette méthode d’attaque. La liste des outils permettant d’exploiter les défauts de conceptions du système ne sera pas non plus rendue publique.
Assa Abloy a déjà publié un patch logiciel corrigeant les problèmes du logiciel Vision. Les établissements qui n’ont pas encore appliqué la mise à jour sont invités à le faire dès que possible.
Conclusion, pour vous, client ? Pas besoin de paniquer. Vous pourrez tranquillement vous détendre durant votre séjour.
Pour autant, il est préférable de prendre certaines précautions lorsque vous voyagez. Bien qu’il soit peu probable que des hackers piratent le verrou de votre chambre d’hôtel (merci Tomi et Timo !), un individu malintentionné pourrait vous porter préjudice de bien d’autres manières.
N’hésitez pas à consulter notre bande dessinée OpSec pour découvrir nos conseils concernant vos déplacements. Voici également quelques éléments de base, à intégrer à votre routine :
- Ne laissez jamais d’objets de valeur et de documents liés au travail sans surveillance dans votre chambre d’hôtel.
- Évitez d’utiliser les coffres-forts d’hôtel.
- Utiliser des chaînes de porte ou des serrures de sécurité, le cas échéant.
- Prenez bien soin de votre carte d’accès !
- Utilisez un service VPN
F-Secure propose également aux organisations des services en sécurité matérielle.
Catégories