25 avril 2018 |

Avec « presque rien », les experts F-Secure ont conçu des clés passe-partout permettant de pénétrer… dans des chambres d’hôtels

Les experts F-Secure ont découvert que les clés des chambres d’hôtel partout dans le monde pouvaient être hackées.

Rueil-Malmaison, le 25 avril 2018 – Les experts F-Secure ont découvert que de nombreux hôtels du monde entier utilisent un système de verrouillage électronique susceptible d’être exploité par des pirates, pour accéder à n’importe quelle chambre de l’établissement. Des défauts de conception ont été découverts dans le logiciel du système de fermeture Vision de VingCard. Celui-ci a été utilisé pour sécuriser des millions de chambres d’hôtel dans le monde entier, notamment au sein de grandes chaines hôtelières. Cette découverte a poussé le plus grand fabricant de serrures au monde, Assa Abloy, à publier des mises à jour logicielles pour patcher le problème.

L’attaque créée par les experts implique de disposer au préalable d’une carte-clé électronique utilisée au sein de l’hôtel en question. Cette clé peut être périmée depuis longtemps. Elle peut avoir été jetée ou être simplement utilisée pour accéder à des installations secondaires, comme le garage, ou un simple placard. En utilisant l’information présente sur la clé, les chercheurs peuvent créer une clé ‘maître’, un passe-partout permettant d’ouvrir n’importe quelle pièce du bâtiment. L’attaque peut être effectuée sans que personne ne s’en aperçoive.

« Imaginez tout ce qu’un individu malveillant pourrait faire, s’il était capable de pénétrer dans n’importe quelle chambre d’hôtel, avec une clé passe-partout, créée à partir de rien », insiste Tomi Tuominen, Practice Leader chez F-Secure Cyber Security Services. « Mais à notre connaissance, personne ne s’est jusque-là servi de cette technique en conditions réelles. »

Les experts F-Secure ont commencé à s’intéresser au piratage de serrures d’hôtel il y a dix ans, lorsque l’ordinateur portable d’un collègue a été dérobé dans une chambre d’hôtel, lors d’une conférence sur la cyber sécurité. Lorsque la victime a signalé le vol, le personnel de l’hôtel a contesté toute responsabilité, expliquant que la chambre ne présentait aucun signe d’effraction. Les registres d’entrée dans la chambre ne présentait aucun accès non-autorisé. Les équipes de recherche de F-Secure ont donc décidé de se pencher sur la question et ont choisi de cibler une marque de serrure connue pour sa fiabilité. Les défauts de conception qu’ils ont pu mettre en évidence n’ont pour autant rien de flagrant. Il a fallu une compréhension approfondie de la conception de l’ensemble du système pour identifier ces points faibles. Ce n’est qu’en exploitant l’ensemble de ces petits défauts que les experts ont pu créer une attaque efficace. La recherche a nécessité plusieurs milliers d’heures et un nombre considérable d’essais-erreurs.

« Nous voulions savoir s’il était possible de contourner cette serrure électronique sans laisser de trace derrière nous », a déclaré Timo Hirvonen, Senior Security Consultant chez F-Secure. « L’élaboration d’un système de contrôle d’accès sécurisé est particulièrement difficile : il y a tant d’éléments à prendre en compte. Ce n’est qu’après avoir bien compris comment celui-ci a été conçu que nous avons pu identifier des lacunes apparemment inoffensives. Nous avons tiré profit de ces défauts, en les combinant, pour élaborer une méthode de création de clés passe-partout. »

 F-Secure a informé le fabricant Assa Abloy des résultats de cette recherche. Durant l’année qui vient de s’écouler, les deux entreprises ont collaboré pour mettre au point des patchs permettant de corriger le problème. Les hôtels concernés peuvent désormais accéder aux mises à jour correspondantes.

« Je tiens à remercier personnellement l’équipe R&D d’Assa Abloy, qui a volontiers collaboré afin de corriger ces problèmes », a déclaré Tomi Tuominen. « Grâce à la détermination d’Assa Abloy et à sa volonté de remédier aux problèmes que nous avons identifiés, le monde de l’hôtellerie est désormais plus sûr. Nous encourageons vivement tout établissement utilisant ce logiciel à installer la mise à jour dès que possible. »

Avis de non-responsabilité : Aucune chambre d’hôtel n’a été victime d’une effraction au cours de cette recherche. Les outils élaborés ne seront pas mis à disposition.

Vidéos :

Plus d’informations

Vidéos : Ghost in the Locks

Les systèmes de serrures électroniques sont vulnérables

Hacking dans les hôtels : lorsque des experts F-Secure trouvent le moyen de pénétrer dans toutes les chambres d’un établissement hôtelier

A propos de F-Secure

30 ans d’expérience en cyber sécurité. Avec toujours le même moteur : l’innovation. L’entreprise finlandaise dispose aujourd’hui d’une expertise inégalée dans la lutte contre toutes les menaces, des infections de type ransomware aux cyber attaques avancées. Pour ce faire, F-Secure a élaboré une stratégie de défense sophistiquée, qui allie la puissance du machine learning et l’expertise humaine. Le nom de cette approche unique : Live Security. Les produits F-Secure sont proposés par plus de 200 opérateurs et des milliers de revendeurs. Ils défendent chaque jour des dizaines de milliers d’entreprises et des millions de particuliers.

Fondée en 1988, F-Secure est cotée sur le NASDAQ (code OMX Helsinki Ltd).
f-secure.com | twitter.com/fsecure | facebook.com/f-secure

Espace Presse F-Secure | Dossier de Presse
Blogs F-Secure en français : Le Blog de F-Secure France | Visions et Sécurité IT

Contacts Médias

Guillaume Ortega
+33 (0) 6 31 45 81 09
guillaume.ortega@f-secure.com

Téléchargements et divers

Ghost_in_the_Locks_Infographic
fr-2018-04-16-ghost-in-the-hotel-locks-ingographic-4-01.png

Derniers communiqués de presse

17 mai 2018

F-Secure intègre le meilleur de l’homme et de la machine au sein d’une nouvelle offre de cyber sécurité

La solution Rapid Detection & Response de F-Secure bénéficie à la fois des atouts de l’expertise humaine et de l’intelligence artificielle, pour permettre aux entreprises de lutter contre les attaques ciblées.

2 mai 2018

La ruée vers l’or du ransomware semble prendre fin… mais la menace demeure.

Un nouveau rapport de F-Secure prouve que les attaques ransomware ont explosé en 2017 – notamment suite à WannaCry. Pourtant, ce même rapport indique un déclin d’autres ransomware, et donc une évolution du comportement des cyber criminels.

25 avril 2018

Avec « presque rien », les experts F-Secure ont conçu des clés passe-partout permettant de pénétrer… dans des chambres d’hôtels

Les experts F-Secure ont découvert que les clés des chambres d’hôtel partout dans le monde pouvaient être hackées.

9 avril 2018

2018 : Et si il était temps de dire stop aux ransomware ?

F-Secure SAFE offre une toute nouvelle protection contre les ransomware. Les utilisateurs peuvent désormais s’affranchir des risques liés à ces cyber menaces, dont le coût s’élève à plusieurs milliards d’euros.

%d blogueurs aiment cette page :