Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Plus de 140 000 hôtels seraient vulnérables à un piratage des verrous électroniques de leurs chambres

Twitter Facebook Linkedin Google + Email
×

Vu ailleurs Deux chercheurs en cybersécurité viennent de publier leurs travaux sur la sécurité des verrous électroniques pour hôtels VingCard. Ces derniers étaient jusqu'à il y a peu vulnérables à une attaque qui permet de créer un pass universel pour toutes les chambres d'un hôtel, et ce en à peine quelques minutes.

Plus de 140 000 hôtels seraient vulnérables à un piratage des verrous électroniques de leurs chambres
Plus de 140 000 hôtels seraient vulnérables à un piratage des verrous électroniques de leurs chambres © Pexels

Deux chercheurs de l'entreprise de cybersécurité F-Secure, Tomi Tuominen et Timo Hirvonen, ont passé près de 15 ans à s'intéresser à la sécurité des lecteurs RFID de la marque VingCard qu'utilisent les chambres hôtel en tant que verrou de porte. Ils ont annoncé le 25 avril qu'il était possible de créer une clé RFID universelle permettant d'accéder à toutes les chambres de l'hôtel en quelques minutes seulement. Il est aussi possible de créer la clé de n'importe quelle chambre spécifique. L'attaque fonctionne sur les systèmes VingCard Vision qui ne sont plus commercialisés aujourd'hui.

 

Un article de Wired révèle que les deux experts finlandais se sont intéressés à cette technologie suite au vol inexpliqué d'un ordinateur portable dans une chambre d'hôtel en 2003 (sans effraction ni traces d'une ouverture normale de la porte dans le système informatique). Pour falsifier les clés, les chercheurs utilisent un outil de lecture et écriture RFID Proxmark, une clé existante (même expirée), et leurs connaissances du système acquises au fil des ans à force d'analyser le chiffrement utilisé par VingCard. La méthode consiste à réduire le nombre de codes potentiels jusqu'à ce qu'il ne faille plus qu'une vingtaine d'essais pour le trouver.

 

Un patch est disponible... mais encore faut-il qu'il soit appliqué

Les chercheurs ont travaillé depuis plus d'un an avec Assa Abloy, propriétaire de la marque VingCard, pour neutraliser la vulnérabilité avant d'en informer le public. Un patch est disponible depuis février 2018, mais le problème est que les verrous électroniques ne se mettent pas à jour tous seuls... Pour les sécuriser, un technicien doit faire la mise à jour porte par porte. En conséquence, les chercheurs estiment que plus de 140 000 hôtels restent vulnérables dans 160 pays, car VingCard est l'une des marques de verrous électroniques les plus vendues au monde. Malgré les mises à jour, plus d'un million de verrous pourraient encore être concernés.

 

Ce n'est pas la première fois qu'une vulnérabilité de ce type est découverte. En 2012, un chercheur avait publié ses recherches expliquant comment pirater les verrous électroniques de la marque Onity. C'en était suivi plusieurs cambriolages mettant en oeuvre la même technique, ce qui a poussé Tomi Tuominen et Timo Hirvonen à faire preuve de plus de prudence et surtout à ne pas trop en dire sur le fonctionnement exact du système de chiffrement VingCard.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale