25 avril 2018 |

Avec « presque rien », les experts F-Secure ont conçu des clés passe-partout permettant de pénétrer… dans des chambres d’hôtels

Les experts F-Secure ont découvert que les clés des chambres d’hôtel partout dans le monde pouvaient être hackées.

Rueil-Malmaison, le 25 avril 2018 – Les experts F-Secure ont découvert que de nombreux hôtels du monde entier utilisent un système de verrouillage électronique susceptible d’être exploité par des pirates, pour accéder à n’importe quelle chambre de l’établissement. Des défauts de conception ont été découverts dans le logiciel du système de fermeture Vision de VingCard. Celui-ci a été utilisé pour sécuriser des millions de chambres d’hôtel dans le monde entier, notamment au sein de grandes chaines hôtelières. Cette découverte a poussé le plus grand fabricant de serrures au monde, Assa Abloy, à publier des mises à jour logicielles pour patcher le problème.

L’attaque créée par les experts implique de disposer au préalable d’une carte-clé électronique utilisée au sein de l’hôtel en question. Cette clé peut être périmée depuis longtemps. Elle peut avoir été jetée ou être simplement utilisée pour accéder à des installations secondaires, comme le garage, ou un simple placard. En utilisant l’information présente sur la clé, les chercheurs peuvent créer une clé ‘maître’, un passe-partout permettant d’ouvrir n’importe quelle pièce du bâtiment. L’attaque peut être effectuée sans que personne ne s’en aperçoive.

« Imaginez tout ce qu’un individu malveillant pourrait faire, s’il était capable de pénétrer dans n’importe quelle chambre d’hôtel, avec une clé passe-partout, créée à partir de rien », insiste Tomi Tuominen, Practice Leader chez F-Secure Cyber Security Services. « Mais à notre connaissance, personne ne s’est jusque-là servi de cette technique en conditions réelles. »

Les experts F-Secure ont commencé à s’intéresser au piratage de serrures d’hôtel il y a dix ans, lorsque l’ordinateur portable d’un collègue a été dérobé dans une chambre d’hôtel, lors d’une conférence sur la cyber sécurité. Lorsque la victime a signalé le vol, le personnel de l’hôtel a contesté toute responsabilité, expliquant que la chambre ne présentait aucun signe d’effraction. Les registres d’entrée dans la chambre ne présentait aucun accès non-autorisé. Les équipes de recherche de F-Secure ont donc décidé de se pencher sur la question et ont choisi de cibler une marque de serrure connue pour sa fiabilité. Les défauts de conception qu’ils ont pu mettre en évidence n’ont pour autant rien de flagrant. Il a fallu une compréhension approfondie de la conception de l’ensemble du système pour identifier ces points faibles. Ce n’est qu’en exploitant l’ensemble de ces petits défauts que les experts ont pu créer une attaque efficace. La recherche a nécessité plusieurs milliers d’heures et un nombre considérable d’essais-erreurs.

« Nous voulions savoir s’il était possible de contourner cette serrure électronique sans laisser de trace derrière nous », a déclaré Timo Hirvonen, Senior Security Consultant chez F-Secure. « L’élaboration d’un système de contrôle d’accès sécurisé est particulièrement difficile : il y a tant d’éléments à prendre en compte. Ce n’est qu’après avoir bien compris comment celui-ci a été conçu que nous avons pu identifier des lacunes apparemment inoffensives. Nous avons tiré profit de ces défauts, en les combinant, pour élaborer une méthode de création de clés passe-partout. »

 F-Secure a informé le fabricant Assa Abloy des résultats de cette recherche. Durant l’année qui vient de s’écouler, les deux entreprises ont collaboré pour mettre au point des patchs permettant de corriger le problème. Les hôtels concernés peuvent désormais accéder aux mises à jour correspondantes.

« Je tiens à remercier personnellement l’équipe R&D d’Assa Abloy, qui a volontiers collaboré afin de corriger ces problèmes », a déclaré Tomi Tuominen. « Grâce à la détermination d’Assa Abloy et à sa volonté de remédier aux problèmes que nous avons identifiés, le monde de l’hôtellerie est désormais plus sûr. Nous encourageons vivement tout établissement utilisant ce logiciel à installer la mise à jour dès que possible. »

Avis de non-responsabilité : Aucune chambre d’hôtel n’a été victime d’une effraction au cours de cette recherche. Les outils élaborés ne seront pas mis à disposition.

Vidéos :

Plus d’informations

Vidéos : Ghost in the Locks

Les systèmes de serrures électroniques sont vulnérables

Hacking dans les hôtels : lorsque des experts F-Secure trouvent le moyen de pénétrer dans toutes les chambres d’un établissement hôtelier

A propos de F-Secure

30 ans d’expérience en cyber sécurité. Avec toujours le même moteur : l’innovation. L’entreprise finlandaise dispose aujourd’hui d’une expertise inégalée dans la lutte contre toutes les menaces, des infections de type ransomware aux cyber attaques avancées. Pour ce faire, F-Secure a élaboré une stratégie de défense sophistiquée, qui allie la puissance du machine learning et l’expertise humaine. Le nom de cette approche unique : Live Security. Les produits F-Secure sont proposés par plus de 200 opérateurs et des milliers de revendeurs. Ils défendent chaque jour des dizaines de milliers d’entreprises et des millions de particuliers.

Fondée en 1988, F-Secure est cotée sur le NASDAQ (code OMX Helsinki Ltd).
f-secure.com | twitter.com/fsecure | facebook.com/f-secure

Espace Presse F-Secure | Dossier de Presse
Blogs F-Secure en français : Le Blog de F-Secure France | Visions et Sécurité IT

Contacts Médias

Guillaume Ortega
+33 (0) 6 31 45 81 09
guillaume.ortega@f-secure.com

Téléchargements et divers

Ghost_in_the_Locks_Infographic
fr-2018-04-16-ghost-in-the-hotel-locks-ingographic-4-01.png

Derniers communiqués de presse

21 novembre 2019

Pour F-Secure, l’IA ne sera pas humaine

Le nouveau projet de recherche de F-Secure s’inspire de la nature pour mener l’Intelligence Artificielle là où elle n’est jamais allée jusqu’à présent.

29 octobre 2019

F-Secure et Zyxel renforcent leur coopération pour améliorer la protection des foyers connectés via les fournisseurs d’accès à internet.

Les passerelles Wi-Fi sécurisées s’installent dans les foyers d’Europe et d’Amérique du Nord via des clients et partenaires Zyxel.

23 octobre 2019

F-Secure prend part à la création des normes de sécurité de la Fondation prpl

F-Secure veille à la sécurité des particuliers en apportant une solution répondant à la problématique de sécurité des routeurs.

3 octobre 2019

F-Secure rejoint ETIS pour aider les opérateurs de télécommunications européens à sécuriser les foyers connectés

F-Secure travaille depuis longtemps déjà avec les opérateurs. Cette expérience est un atout-clé pour aider le secteur des télécommunications à assurer la sécurité des foyers connectés.

%d blogueurs aiment cette page :