Avec « presque rien », les experts F-Secure ont conçu des clés passe-partout permettant de pénétrer… dans des chambres d'hôtels

Rueil-Malmaison, le 25 avril 2018 - Les experts F-Secure ont découvert que de nombreux hôtels du monde entier utilisent un système de verrouillage électronique susceptible d'être exploité par des pirates, pour accéder à n'importe quelle chambre de l'établissement. Des défauts de conception ont été découverts dans le logiciel du système de fermeture Vision de VingCard. Celui-ci a été utilisé pour sécuriser des millions de chambres d'hôtel dans le monde entier, notamment au sein de grandes chaines hôtelières. Cette découverte a poussé le plus grand fabricant de serrures au monde, Assa Abloy, à publier des mises à jour logicielles pour patcher le problème.

L'attaque créée par les experts implique de disposer au préalable d’une carte-clé électronique utilisée au sein de l’hôtel en question. Cette clé peut être périmée depuis longtemps. Elle peut avoir été jetée ou être simplement utilisée pour accéder à des installations secondaires, comme le garage, ou un simple placard. En utilisant l'information présente sur la clé, les chercheurs peuvent créer une clé ‘maître’, un passe-partout permettant d'ouvrir n'importe quelle pièce du bâtiment. L'attaque peut être effectuée sans que personne ne s'en aperçoive.

« Imaginez tout ce qu'un individu malveillant pourrait faire, s'il était capable de pénétrer dans n'importe quelle chambre d'hôtel, avec une clé passe-partout, créée à partir de rien », insiste Tomi Tuominen, Practice Leader chez F-Secure Cyber Security Services. « Mais à notre connaissance, personne ne s’est jusque-là servi de cette technique en conditions réelles. »

Les experts F-Secure ont commencé à s'intéresser au piratage de serrures d'hôtel il y a dix ans, lorsque l'ordinateur portable d'un collègue a été dérobé dans une chambre d'hôtel, lors d'une conférence sur la cyber sécurité. Lorsque la victime a signalé le vol, le personnel de l'hôtel a contesté toute responsabilité, expliquant que la chambre ne présentait aucun signe d'effraction. Les registres d'entrée dans la chambre ne présentait aucun accès non-autorisé. Les équipes de recherche de F-Secure ont donc décidé de se pencher sur la question et ont choisi de cibler une marque de serrure connue pour sa fiabilité. Les défauts de conception qu’ils ont pu mettre en évidence n'ont pour autant rien de flagrant. Il a fallu une compréhension approfondie de la conception de l'ensemble du système pour identifier ces points faibles. Ce n’est qu’en exploitant l’ensemble de ces petits défauts que les experts ont pu créer une attaque efficace. La recherche a nécessité plusieurs milliers d'heures et un nombre considérable d'essais-erreurs.

« Nous voulions savoir s'il était possible de contourner cette serrure électronique sans laisser de trace derrière nous », a déclaré Timo Hirvonen, Senior Security Consultant chez F-Secure. « L'élaboration d'un système de contrôle d'accès sécurisé est particulièrement difficile : il y a tant d'éléments à prendre en compte. Ce n'est qu'après avoir bien compris comment celui-ci a été conçu que nous avons pu identifier des lacunes apparemment inoffensives. Nous avons tiré profit de ces défauts, en les combinant, pour élaborer une méthode de création de clés passe-partout. »

 F-Secure a informé le fabricant Assa Abloy des résultats de cette recherche. Durant l’année qui vient de s’écouler, les deux entreprises ont collaboré pour mettre au point des patchs permettant de corriger le problème. Les hôtels concernés peuvent désormais accéder aux mises à jour correspondantes.

« Je tiens à remercier personnellement l'équipe R&D d'Assa Abloy, qui a volontiers collaboré afin de corriger ces problèmes », a déclaré Tomi Tuominen. « Grâce à la détermination d’Assa Abloy et à sa volonté de remédier aux problèmes que nous avons identifiés, le monde de l'hôtellerie est désormais plus sûr. Nous encourageons vivement tout établissement utilisant ce logiciel à installer la mise à jour dès que possible. »

Avis de non-responsabilité : Aucune chambre d'hôtel n'a été victime d’une effraction au cours de cette recherche. Les outils élaborés ne seront pas mis à disposition.

Vidéos :

Plus d’informations

Vidéos : Ghost in the Locks

Les systèmes de serrures électroniques sont vulnérables

Hacking dans les hôtels : lorsque des experts F-Secure trouvent le moyen de pénétrer dans toutes les chambres d’un établissement hôtelier

A propos de F-Secure

Fondée en 1988, F-Secure est une entreprise finlandaise spécialisée en cybersécurité et cotée au NASDAQ OMX Helsinki Ltd. Depuis plus de trente ans, nous protégeons des dizaines de milliers d’entreprises et des millions de particuliers grâce à notre réseau de partenaires de distribution, et plus de 200 fournisseurs de services. Des solutions de protection des postes de travail à la détection et réponses aux menaces avancées, nous veillons à ce que nos utilisateurs puissent compter sur une cyber sécurité de haut-niveau. L’alliance unique de l’expertise humaine de solutions logicielles et d’intelligence artificielle nous permet d’être reconnu comme un acteur incontournable du marché européen.

f-secure.com/fr | twitter.com/fsecurefrance | linkedin.com/f-secure​ | facebook.com/f-secure

F-Secure – Relations Presse

Amon Francoise Koutoua

PR Manager, France & Benelux

+33 6 43 62 98 12
amon.francoise.koutoua@f-secure.com

L’Agence RP

Justine Boiramier
06 50 31 86 24
justine@lagencerp.com

Yannis Ladghem
07 62 15 77 66
Yannis@lagencerp.com

Liste de presse

Inscrivez-vous pour recevoir nos dernières informations Presse F-Secure

Nous traitons les données personnelles que vous partagez avec nous conformément à notre politique de confidentialité.

Archives Presse

Recherche par année

Parcourir par année

Recherche par catégorie

Parcourir par catégorie