FR

Les clés électroniques des chambres d'hôtel peuvent être piratées

F-Secure a trouvé un défaut de conception dans un système de serrures électroniques utilisé par des établissements hôteliers du monde entier. Cette faille permet d'ouvrir les portes des chambres d'hôtel, sans se faire remarquer.

Vulnérabilité Ghost in the Locks

Les chercheurs F-Secure ont découvert que, dans de nombreux hôtels du monde, les clés des chambres pouvaient être hackées, de manière à permettre l'accès à n'importe quelle chambre du bâtiment.

Les chercheurs ont simulé l'attaque à partir d'une carte-clé électronique ordinaire, appartenant à l'établissement ciblé. En utilisant l'information présente sur la clé, ils ont pu créer une clé ‘maître' passe-partout, disposant des privilèges nécessaires à l'ouverture de n'importe quelle pièce. La clé d'origine n'a pas besoin d'être une clé de service : il peut même s'agir d'une clé périmée depuis longtemps, jetée à la poubelle ou d'une clé utilisée pour accéder à des espaces secondaires (garage, placard). L'attaque peut être effectuée en passant totalement inaperçue.

Les défauts de conception ont été découverts dans le logiciel du système de fermeture Vision de VingCard. Celui-ci a été utilisé pour sécuriser des millions de chambres d'hôtel dans le monde entier, notamment au sein de grandes chaines hôtelières. Cette découverte a poussé le plus grand fabricant de serrures au monde, Assa Abloy, à publier des mises à jour logicielles pour patcher le problème.

PRÉSENTATION DE GHOST IN THE LOCKS

Tomi Tuominen et Timo Hirvonen, chercheurs chez F-Secure, ont présenté cette expérience de piratage des serrures de chambre d'hôtel lors de la conférence INFILTRATE 2018 sur la sécurité.

 

Penser à la sécurité d'un produit, dès le début

Pour concevoir des produits sécurisés, il est essentiel de comprendre les interactions entre software (logiciel) et hardware (matériel). Vous devez faire les bons choix dès le début, car les vulnérabilités matérielles ne peuvent pas être corrigées aussi facilement que celles des logiciels. En faisant appel à nos experts en sécurité matérielle dès le début des opérations, vous économiserez à la fois du temps et de l'argent.

NOUS PROPOSONS LES SERVICES EN SÉCURITÉ MATÉRIELLE SUIVANTS :

  • Examen de la conception du matériel et du micrologiciel
  • FPGA, firmware, examen du code source de l'application
  • Tests d'intrusion
  • Recherche et développement
«Nous parvenons à contourner la sécurité de près de 100% des systèmes testés. Ce score égale notre capacité à assurer une protection efficace des produits avant leur lancement. Nous avons accompagné de très nombreux clients, dès le début de la phase de développement. Notre approche se veut à la fois rentable du point de vue financier et rigoureuse du point de vue technique, et ce pour tous les produits, à la fois sur terre, en mer, dans les airs ou dans l'espace.»

Andrea Barisani
Head of Hardware Security chez F-Secure

Contactez-nous

Contactez l'un de nos experts en sécurité matérielle pour discuter de la sécurité de votre produit.

Nous traitons les données personnelles que vous partagez avec nous conformément à notre politique de confidentialité.

Podcast

Tomi Tuominen et Timo Hirvonen, chercheurs chez F-Secure, ont été interviewés au sujet de la vulnérabilité Ghost in the Locks, pour notre podcast Cyber Security Sauna.

Écouter le podcast

En coulisse

Les chercheurs F-Secure ont commencé à s'intéresser au piratage de serrures d'hôtel il y a dix ans, lorsque l'ordinateur portable d'un collègue a été dérobé dans une chambre d'hôtel, lors d'une conférence en cyber sécurité. Lorsque les chercheurs ont signalé le vol, le personnel de l'hôtel a contesté toute responsabilité, expliquant que la chambre ne présentait aucun signe d'effraction. Les registres d'entrée dans la chambre ne présentait aucun accès non-autorisé. Les chercheurs ont donc décidé de se pencher sur la question.

En savoir plus