Si vous passez quelques nuits à l’hôtel, attention à ne pas y laisser des affaires de valeur. Les serrures électroniques d’un grand nombre de chambres sont en effet vulnérables. Il suffit qu’un pirate dispose de l’une des cartes d’accès de l’hôtel, même ancienne, pour créer en quelques minutes une clé-maître qui permet d’accéder à toutes les chambres.

Ce hack, qui ne nécessite qu’un lecteur de carte RFID de quelques centaines d’euros, a été découvert par Tomi Tuominen et Timo Hirvonen, deux chercheurs en sécurité de F-Secure. Ils vont le présenter aujourd’hui à l’occasion de la conférence Infiltrate à Miami. Ils ont également réalisé une vidéo de démonstration qui montre la facilité de l’opération.

Tout commence en fait en 2003 quand, selon Wired, un ami de l’un des chercheurs se fait voler sont ordinateur portable dans une chambre de l’hôtel Radisson Alexanderplatz à Berlin. Bizarrement, il n’y a eu aucune marque d’effraction et aucune trace dans les logs d’accès. Les deux chercheurs de F-Secure ont donc estimé qu’il devait y avoir une faille dans les serrures électroniques. Celles-ci reposaient sur le système d’accès Vingcard du fournisseur Assa Abloy. Depuis, les deux experts ont commencé à collectionner des cartes d’hôtel du monde entier et à analyser leur fonctionnement.

Assez rapidement, ils ont détecté des faiblesses dans la génération des clés cryptographiques. Mais ce n’était pas suffisant pour en déduire une clé-maître par force brute. Pendant des années, ils ont continué à travailler sur le sujet, sans vraiment aboutir. Finalement, au bout de milliers d’heures de travail, un indice technique trouvé sur le site du fournisseur leur a permis de réduire considérablement le champ des possibles. Désormais, une vingtaine d’essais suffit pour calculer une clé-maître.

Mise à jour à la main

Sur le millier de cartes d’hôtel collectionnées, un tiers reposait sur le système vulnérable Vingcard. Les chercheurs estiment par conséquent que cette faille affecte « des millions de serrures » dans 140.000 hôtels du monde entier. Le fournisseur a été alerté sur cette vulnérabilité et un patch est désormais disponible. Mais comme les serrures ne sont pas connectées, elles doivent être mises à jour une par une, par un technicien. Ce qui va donc prendre du temps. Dans certains hôtels, le patch ne sera peut-être jamais déployé. C’est pourquoi les chercheurs ne vont pas publier de détails techniques sur cette vulnérabilité.

Celle-ci expliquerait peut-être comment le Mossad a réussi, en 2010 à Dubaï, à rentrer dans la chambre d’hôtel d’un dignitaire du Hamas pour l’assassiner. Là aussi, il s’agissait d’une serrure Vingcard.

Cet article a été importé d’un feed RSS, cliquez-ici pour voir l’article original