25 avril 2018 |

Avec « presque rien », les experts F-Secure ont conçu des clés passe-partout permettant de pénétrer… dans des chambres d’hôtels

Les experts F-Secure ont découvert que les clés des chambres d’hôtel partout dans le monde pouvaient être hackées.

Rueil-Malmaison, le 25 avril 2018 – Les experts F-Secure ont découvert que de nombreux hôtels du monde entier utilisent un système de verrouillage électronique susceptible d’être exploité par des pirates, pour accéder à n’importe quelle chambre de l’établissement. Des défauts de conception ont été découverts dans le logiciel du système de fermeture Vision de VingCard. Celui-ci a été utilisé pour sécuriser des millions de chambres d’hôtel dans le monde entier, notamment au sein de grandes chaines hôtelières. Cette découverte a poussé le plus grand fabricant de serrures au monde, Assa Abloy, à publier des mises à jour logicielles pour patcher le problème.

L’attaque créée par les experts implique de disposer au préalable d’une carte-clé électronique utilisée au sein de l’hôtel en question. Cette clé peut être périmée depuis longtemps. Elle peut avoir été jetée ou être simplement utilisée pour accéder à des installations secondaires, comme le garage, ou un simple placard. En utilisant l’information présente sur la clé, les chercheurs peuvent créer une clé ‘maître’, un passe-partout permettant d’ouvrir n’importe quelle pièce du bâtiment. L’attaque peut être effectuée sans que personne ne s’en aperçoive.

« Imaginez tout ce qu’un individu malveillant pourrait faire, s’il était capable de pénétrer dans n’importe quelle chambre d’hôtel, avec une clé passe-partout, créée à partir de rien », insiste Tomi Tuominen, Practice Leader chez F-Secure Cyber Security Services. « Mais à notre connaissance, personne ne s’est jusque-là servi de cette technique en conditions réelles. »

Les experts F-Secure ont commencé à s’intéresser au piratage de serrures d’hôtel il y a dix ans, lorsque l’ordinateur portable d’un collègue a été dérobé dans une chambre d’hôtel, lors d’une conférence sur la cyber sécurité. Lorsque la victime a signalé le vol, le personnel de l’hôtel a contesté toute responsabilité, expliquant que la chambre ne présentait aucun signe d’effraction. Les registres d’entrée dans la chambre ne présentait aucun accès non-autorisé. Les équipes de recherche de F-Secure ont donc décidé de se pencher sur la question et ont choisi de cibler une marque de serrure connue pour sa fiabilité. Les défauts de conception qu’ils ont pu mettre en évidence n’ont pour autant rien de flagrant. Il a fallu une compréhension approfondie de la conception de l’ensemble du système pour identifier ces points faibles. Ce n’est qu’en exploitant l’ensemble de ces petits défauts que les experts ont pu créer une attaque efficace. La recherche a nécessité plusieurs milliers d’heures et un nombre considérable d’essais-erreurs.

« Nous voulions savoir s’il était possible de contourner cette serrure électronique sans laisser de trace derrière nous », a déclaré Timo Hirvonen, Senior Security Consultant chez F-Secure. « L’élaboration d’un système de contrôle d’accès sécurisé est particulièrement difficile : il y a tant d’éléments à prendre en compte. Ce n’est qu’après avoir bien compris comment celui-ci a été conçu que nous avons pu identifier des lacunes apparemment inoffensives. Nous avons tiré profit de ces défauts, en les combinant, pour élaborer une méthode de création de clés passe-partout. »

 F-Secure a informé le fabricant Assa Abloy des résultats de cette recherche. Durant l’année qui vient de s’écouler, les deux entreprises ont collaboré pour mettre au point des patchs permettant de corriger le problème. Les hôtels concernés peuvent désormais accéder aux mises à jour correspondantes.

« Je tiens à remercier personnellement l’équipe R&D d’Assa Abloy, qui a volontiers collaboré afin de corriger ces problèmes », a déclaré Tomi Tuominen. « Grâce à la détermination d’Assa Abloy et à sa volonté de remédier aux problèmes que nous avons identifiés, le monde de l’hôtellerie est désormais plus sûr. Nous encourageons vivement tout établissement utilisant ce logiciel à installer la mise à jour dès que possible. »

Avis de non-responsabilité : Aucune chambre d’hôtel n’a été victime d’une effraction au cours de cette recherche. Les outils élaborés ne seront pas mis à disposition.

Vidéos :

Plus d’informations

Vidéos : Ghost in the Locks

Les systèmes de serrures électroniques sont vulnérables

Hacking dans les hôtels : lorsque des experts F-Secure trouvent le moyen de pénétrer dans toutes les chambres d’un établissement hôtelier

A propos de F-Secure

30 ans d’expérience en cyber sécurité. Avec toujours le même moteur : l’innovation. L’entreprise finlandaise dispose aujourd’hui d’une expertise inégalée dans la lutte contre toutes les menaces, des infections de type ransomware aux cyber attaques avancées. Pour ce faire, F-Secure a élaboré une stratégie de défense sophistiquée, qui allie la puissance du machine learning et l’expertise humaine. Le nom de cette approche unique : Live Security. Les produits F-Secure sont proposés par plus de 200 opérateurs et des milliers de revendeurs. Ils défendent chaque jour des dizaines de milliers d’entreprises et des millions de particuliers.

Fondée en 1988, F-Secure est cotée sur le NASDAQ (code OMX Helsinki Ltd).
f-secure.com | twitter.com/fsecure | facebook.com/f-secure

Espace Presse F-Secure | Dossier de Presse
Blogs F-Secure en français : Le Blog de F-Secure France | Visions et Sécurité IT

Contacts Médias

Guillaume Ortega
+33 (0) 6 31 45 81 09
guillaume.ortega@f-secure.com

Téléchargements et divers

Ghost_in_the_Locks_Infographic
fr-2018-04-16-ghost-in-the-hotel-locks-ingographic-4-01.png

Derniers communiqués de presse

11 février 2020

Outil « IDENTITY THEFT CHECKER » : Le nouveau rapport de F-Secure révèle que les internautes sont plus que jamais, préoccupés par le vol d’identité en ligne

F-Secure révèle que le vol d’identité inquiète de plus en plus les internautes et publie un outil gratuit pour les aider à retrouver leurs données exposées. Rueil-Malmaison, mardi 11 février 2020 – Un nouveau rapport du fournisseur de cybersécurité F-Secure révèle que les internautes sont de plus en plus inquiets face à la croissance des […]

5 février 2020

F-Secure lance une nouvelle version de l’USB armory Mk II, l’un des plus petits ordinateurs au monde.

L’USB armory Mk II est l’un des plus petits ordinateurs embarqués au monde. Celui-ci a été conçu pour les applications embarquées nécessitant un haut niveau de sécurité.  Rueil-Malmaison – 5 février 2020 : Les experts en sécurité hardware de F-Secure Foundry ont créé une nouvelle version de l’USB armory, un ordinateur sur clé USB spécifiquement […]

3 février 2020

F-Secure ID PROTECTION, le nouveau service de protection de l’identité en ligne

  Rueil Malmaison, 03 février 2020 – Le fournisseur en cybersécurité F-Secure commence à déployer sa nouvelle solution F-Secure ID PROTECTION. Cinq partenaires dans le monde ont déjà choisi ce service pour protéger l’identité de leurs clients. Présenté pour la première fois en mai 2019, ce service, désormais disponible, surveille les atteintes à la protection […]

16 décembre 2019

F-Secure détecte des failles de sécurité majeures sur un système de présentation sans fil populaire

Les consultants en sécurité de F-Secure mettent en garde : les appareils auxquels nous accordons une totale confiance sont les cibles préférées des hackers.

%d blogueurs aiment cette page :