Les chercheurs en sécurité ont construit une clé principale qui exploite un défaut de conception dans un système de serrure électronique d’hôtel populaire et largement utilisé, permettant un accès sans entrave à chaque pièce du bâtiment.
Le système de serrure électronique, connu sous le nom de Vision by VingCard et construit par le fabricant suédois de serrures Assa Abloy, est utilisé dans plus de 42 000 propriétés dans 166 pays, ce qui représente des millions de chambres d’hôtel — ainsi que des garages et des unités de stockage.
Ces systèmes de verrouillage électronique sont monnaie courante dans les hôtels, utilisés par le personnel pour fournir des contrôles granulaires sur l’endroit où une personne peut se rendre dans un hôtel – comme sa chambre – et même restreindre l’étage où l’ascenseur s’arrête. Et ces clés peuvent être effacées et réutilisées lors du départ des clients.
Il s’avère que ces cartes clés ne sont pas aussi sécurisées qu’on le pensait.
Tomi Tuominen et Timo Hirvonen de F-Secure, qui ont effectué les travaux, ont déclaré qu’ils pouvaient créer une clé principale « essentiellement à partir de rien. »
N’importe quelle carte-clé fera l’affaire. Même les clés anciennes et expirées ou abandonnées conservent suffisamment de données résiduelles pour être utilisées dans l’attaque. À l’aide d’un appareil portable exécutant un logiciel personnalisé, les chercheurs peuvent dérober les données d’une carte-clé – soit en utilisant l’identification par radiofréquence sans fil (RFID), soit la bande magnétique. Cet appareil manipule ensuite les données de clé volées, qui identifient l’hôtel, pour produire un jeton d’accès avec le plus haut niveau de privilèges, servant efficacement de clé principale à chaque pièce du bâtiment.
Ce n’était pas un effort du jour au lendemain. Il a fallu plus d’une décennie de travail aux chercheurs pour en arriver là.
Les chercheurs ont commencé leurs efforts de contournement des clés de la chambre en 2003 lorsque l’ordinateur portable d’un collègue a été volé dans une chambre d’hôtel. Sans aucun signe d’entrée forcée ou d’accès non autorisé à la chambre, le personnel de l’hôtel aurait rejeté l’incident. Les chercheurs ont entrepris de trouver une marque populaire de serrure intelligente à examiner. Selon eux, trouver et construire la clé principale était loin d’être facile, et prenait « plusieurs milliers d’heures de travail » sur une base off, et en utilisant des essais et des erreurs.
« Développer une attaque a pris beaucoup de temps et d’efforts », ont déclaré Tuominen et Hirvonen, dans un e-mail à ZDNet.
« Nous avons construit un environnement de démonstration RFID en 2015 et avons pu créer notre première clé principale pour un véritable hôtel en mars 2017 », ont-ils déclaré. « Si quelqu’un devait faire cela à temps plein, cela prendrait probablement beaucoup moins de temps.
Il y avait de bonnes nouvelles, ont déclaré les chercheurs.
« Nous ne connaissons personne d’autre qui effectue cette attaque particulière dans la nature en ce moment », ont déclaré les chercheurs, minimisant le risque pour les clients de l’hôtel.
Leur découverte a également incité Assa Abloy à publier un correctif de sécurité pour corriger les failles. Selon leur calendrier de divulgation, Assa Abloy a été informée des vulnérabilités pour la première fois un mois plus tard en avril 2017, et s’est réunie à nouveau pendant plusieurs mois pour corriger les failles.
Le logiciel est corrigé sur le serveur central, mais le firmware de chaque verrou doit être mis à jour.
« Cela nécessite que quelqu’un soit physiquement présent à l’écluse », ont écrit les chercheurs.
Mais peu de détails sont disponibles sur le patch. Un porte-parole d’Assa Abloy n’a pas retourné plusieurs courriels et appels téléphoniques demandant des commentaires. La société a livré le correctif aux clients au début de 2018, mais on ne sait pas combien d’hôtels ont déployé le correctif.
Plusieurs grands hôtels, dont le Waldorf Astoria à Berlin, le Grand Hyatt à San Francisco et le Renaissance Downtown à Toronto, seraient des clients du fabricant suédois de serrures.
Nous avons contacté des représentants de Hyatt et Marriott, mais nous n’avons pas eu de nouvelles au moment de la publication.
Un porte-parole de Hilton a déclaré que la société était « consciente » des vulnérabilités.
« La sûreté et la sécurité de nos clients sont d’une importance primordiale. Nous travaillons en étroite collaboration avec Ving pour remédier aux systèmes touchés dans un nombre limité d’hôtels « , a déclaré le porte-parole.
Les chercheurs ont exhorté les bâtiments utilisant les serrures de porte à se mettre à jour dès que possible.