S’introduire dans une chambre d’hôtel sans avoir la clé
Un hacker dévoile un système permettant de pirater les serrures électroniques d’hôtels
Le système de lecture de carte d’hôtel de F-Secure
Un hacker a mis au point un petit appareil permettant de déverrouiller les qui ferment les chambres de milliers d’hôtels à travers le monde. Un tel dispositif pourrait ouvrir pas moins de 4 millions de serrures en raison de la standardisation de ce type de sécurité.
Sur le blog de Spider Labs, la société qui l’emploie, Matthew Jakubowski met en avant le travail d’un hacker nommé Cody Brocious : c’est lui qui, le premier, a mis le doigt sur une faille permettant d’ouvrir des millions de portes de chambres d’hôtel à l’aide d’un système basé sur un contrôleur Arduino. Une démarche « A la James Bond » que Jakubowski a entrepris d’adapter dans un appareil bien plus petit que celui de Brocious, à savoir de la taille et de la forme d’un stylo. Le gadget parfait pour s’introduire dans une pièce verrouillée par un système électronique avec la classe d’un espion britannique.
Matthew Jakubowski explique toute la marche à suivre pour construire un tel appareil, capable d’ouvrir discrètement les serrures électroniques de marque Onity, très répandue à travers le monde. Non seulement l’appareil n’est pas particulièrement onéreux à fabriquer, mais il s’avère assez simple à concevoir pour un bon bricoleur. Il suffit ensuite d’insérer l’appareil à l’endroit normalement prévu pour accueillir le passe partout de l’hôtel pour que le système accède à la mémoire de la serrure et la déverrouille.
La faille en elle-même n’est pas nouvelle, puisque Cody Brocious l’avait déjà mise en avant lors d’une conférence Black Hat en juillet dernier. Mais la démarche de Jakubowki avait un autre objectif : « Je pense que nous avons voulu démontrer que ce genre d’attaque peut être produite avec un tout petit appareil très facile à dissimiler » explique-t-il. L’ensemble de l’appareil tient en effet dans un petit marqueur, qui passe totalement inaperçu du moment qu’on ne regarde pas la mine.
Si Cody Brocious avait exposé la faille, Matthew Jakubowski donne, sans jeu de mots, la clé pour l’exploiter : une situation qui pourrait poser problème aux hôtels qui utilisent les serrures Onity concernées, mais devrait les motiver à régler cet important problème de sécurité.
Difficile, mais pas impossible
Une autre équipe s’est penchée sur les serrures d’Assa Abloy, principal fabricant de ce genre de solutions, utilisées notamment dans les chaînes hôtelières Hyatt, Sheraton, Radisson, InterContinental, Fairmont, Waldorf Astoria, etc. On ne sait pas exactement combien de ces serrures ont été déployées, mais F-Secure table sur plusieurs “millions de chambres d’hôtel concernées dans le monde”.
Sans (grande) surprise, les hackeurs professionnels ont découvert de nombreuses failles dans le logiciel des serrures, baptisé Vision de VingCard. Pis, par un petit bricolage, ils ont réussi à recréer une “carte maître” (“master key”) permettant d’accéder à l’ensemble des chambres d’un hôtel et à les pièces protégées (du placard au local de sécurité), sans jamais laissé de traces. Timo Hirvonen nous explique :
“D’abord, il faut récupérer une clé électronique de l’hôtel cible. N’importe laquelle peut faire l’affaire, aussi bien celle d’une chambre que du garage. Et il n’y a pas besoin qu’elle soit activée : même une clé périmée depuis cinq ans fonctionnera.”
Il poursuit : “Avec un petit appareil, on lit la clé pour créer des dérivés. En quelques minutes, il est possible de générer une clé maître pour l’établissement […] permettant d’ouvrir n’importe quelle serrure.”
Le système de F-Secure utilisé sur une serrure
L’effroi. D’autant plus important qu’en ligne, il est possible de dénicher pour quelques euros de vieilles clés électroniques de nombreux hôtels, mais aussi l’appareil de lecture qui ne coûte quelques centaines d’euros. Qu’on se rassure en revanche, le logiciel permettant d’analyser en profondeur la clé et de générer une clé maître n’est pas disponible, puisque développé par les chercheurs de F-Secure.
“Ce n’est pas si facile de développer l’attaque”, rassure Timo Hirvonen. “Cela demande du temps et des efforts.”
Difficile, mais visiblement pas impossible…
F-Secure assure avoir informé Assa Abloy des failles découvertes, et que des mises à jour des serrures ont été déployées. En espérant que les hôtels les aient bien appliquées… Au risque de voir des hackeurs malveillant pouvoir s’introduire dans toutes les chambres d’un établissement. On imagine bien qu’il déroberait des ordinateurs portables, mais pas que.
