Les chercheurs de la société de cybersécurité F-Secure ont découvert une faille avec l’usage des cartes-clés par certaines des plus grandes chaînes hôtelières au monde, notamment les hôtels Intercontinental, Radisson et Sheraton Hotels et Resorts.
Tomi Tuominen et Timo Hirvonen de F-Secure, des consultants en sécurité, ont commencé à enquêter sur cette vulnérabilité depuis 2003, après qu’un ordinateur portable appartenant à l’un de leurs collègues ait mystérieusement disparu d’une chambre d’hôtel. Les failles qu’ils ont découvertes avec les cartes-clés du plus grand fabricant de serrures suédois au monde, Assa Abloy, leur ont permis de créer une clé principale en utilisant n’importe quelle carte-clé d’un hôtel, même celle qui était expirée depuis longtemps. Le système de verrouillage électronique, connu sous le nom de « Vision by VingCard » est utilisé dans plus de 42 000 propriétés dans 166 pays, soit des millions de chambres d’hôtel, ainsi que des garages et des unités de stockage.
Ces systèmes de serrures électroniques sont courants dans les hôtels, utilisés par le personnel pour fournir des contrôles granulaires sur l’endroit où une personne peut aller dans un hôtel – comme sa chambre – et même restreindre le plancher où s’arrête l’ascenseur. En se procurant une carte-clé d’hôtel largement utilisée, un attaquant pourrait créer une clé pour déverrouiller n’importe quelle pièce du bâtiment sans laisser de trace, ont déclaré les chercheurs.
Le piratage s’effectue en deux étapes, explique M. Tuominen. Premièrement, avoir accès à une carte-clé, peu importe laquelle. Deuxièmement, à l’aide d’un appareil portatif exécutant un logiciel personnalisé, les chercheurs peuvent voler des données d’une carte-clé en utilisant l’identification par radiofréquence sans fil (RFID) ou la bande magnétique. Ce dispositif manipule ensuite les données de clés volées, qui identifient l’hôtel, pour produire un jeton d’accès avec le plus haut niveau de privilèges, servant efficacement de clé principale à chaque pièce du bâtiment. M. Tuominen et M. Hirvonen disent qu’il faut en moyenne 60 secondes pour accéder à une pièce en utilisant cette technique.
Les chercheurs ont informé Assa Abloy de la vulnérabilité. Leur découverte a incité Assa Abloy à publier un correctif de sécurité pour corriger les failles. Selon le calendrier de divulgation, Assa Abloy a été informé des vulnérabilités un mois plus tard, en avril 2017. La société a travaillé pendant plusieurs mois pour corriger les failles. Le logiciel est corrigé sur le serveur central, mais le microprogramme de chaque verrou doit être mis à jour. « Cela nécessite que quelqu’un soit physiquement présent à l’écluse », ont écrit les chercheurs. Mais peu de détails sont disponibles sur le patch. La société a livré le correctif aux clients au début de 2018. Certains hôtels ont commencé à l’appliquer. Par contre, d’autres continuent d’utiliser le système défaillant dans plusieurs centaines de milliers de chambres, a estimé Assa Abloy. On s’attend à ce que cela prenne beaucoup de temps pour déployer le correctif dans tous les hôtels concernés, a ajouté Assa Abloy. Les chercheurs devraient également présenter leurs conclusions à la conférence Infiltrate.
« Nous apprécions l’approche éthique de F-Secure en attirant l’attention sur ces problèmes », a déclaré un porte-parole d’Assa Abloy. « Nous recherchons la plus grande sécurité et la qualité dans nos produits, nous sommes donc heureux d’avoir l’occasion de nous assurer que nos produits passent les évaluations les plus rigoureuses ». Ces mises à jour permettront probablement à la compagnie hôtelière d’élever la sécurité de l’accueil au niveau supérieur.
« Je ne serais pas surpris si d’autres systèmes de verrouillage électronique avaient des vulnérabilités similaires », a déclaré Hirvonen. Assa Abloy souligne que ses nouvelles offres reposent sur différentes technologies, y compris un système qui permet aux clients de l’hôtel d’ouvrir les serrures de porte avec leurs smartphones.
Source : REUTERS