Les experts F-Secure ont découvert que de nombreux hôtels du monde entier utilisent un système de verrouillage électronique susceptible d’être exploité par des pirates, pour accéder à n’importe quelle chambre de l’établissement. Des défauts de conception ont été découverts dans le logiciel du système de fermeture Vision de VingCard.
Rueil-Malmaison, le 25 avril 2018 – Les experts F-Secure ont découvert que de nombreux hôtels du monde entier utilisent un système de verrouillage électronique susceptible d’être exploité par des pirates, pour accéder à n’importe quelle chambre de l’établissement. Des défauts de conception ont été découverts dans le logiciel du système de fermeture Vision de VingCard. Celui-ci a été utilisé pour sécuriser des millions de chambres d’hôtel dans le monde entier, notamment au sein de grandes chaines hôtelières. Cette découverte a poussé le plus grand fabricant de serrures au monde, Assa Abloy, à publier des mises à jour logicielles pour patcher le problème.
L’attaque créée par les experts implique de disposer au préalable d’une carte-clé électronique utilisée au sein de l’hôtel en question. Cette clé peut être périmée depuis longtemps. Elle peut avoir été jetée ou être simplement utilisée pour accéder à des installations secondaires, comme le garage, ou un simple placard. En utilisant l’information présente sur la clé, les chercheurs peuvent créer une clé ‘maître’, un passe-partout permettant d’ouvrir n’importe quelle pièce du bâtiment. L’attaque peut être effectuée sans que personne ne s’en aperçoive.
« Imaginez tout ce qu’un individu malveillant pourrait faire, s’il était capable de pénétrer dans n’importe quelle chambre d’hôtel, avec une clé passe-partout, créée à partir de rien », insiste Tomi Tuominen, Practice Leader chez F-Secure Cyber Security Services. « Mais à notre connaissance, personne ne s’est jusque-là servi de cette technique en conditions réelles. »
Les experts F-Secure ont commencé à s’intéresser au piratage de serrures d’hôtel il y a dix ans, lorsque l’ordinateur portable d’un collègue a été dérobé dans une chambre d’hôtel, lors d’une conférence sur la cyber sécurité. Lorsque la victime a signalé le vol, le personnel de l’hôtel a contesté toute responsabilité, expliquant que la chambre ne présentait aucun signe d’effraction. Les registres d’entrée dans la chambre ne présentait aucun accès non-autorisé. Les équipes de recherche de F-Secure ont donc décidé de se pencher sur la question et ont choisi de cibler une marque de serrure connue pour sa fiabilité. Les défauts de conception qu’ils ont pu mettre en évidence n’ont pour autant rien de flagrant. Il a fallu une compréhension approfondie de la conception de l’ensemble du système pour identifier ces points faibles. Ce n’est qu’en exploitant l’ensemble de ces petits défauts que les experts ont pu créer une attaque efficace. La recherche a nécessité plusieurs milliers d’heures et un nombre considérable d’essais-erreurs.
« Nous voulions savoir s’il était possible de contourner cette serrure électronique sans laisser de trace derrière nous », a déclaré Timo Hirvonen, Senior Security Consultant chez F-Secure. « L’élaboration d’un système de contrôle d’accès sécurisé est particulièrement difficile : il y a tant d’éléments à prendre en compte. Ce n’est qu’après avoir bien compris comment celui-ci a été conçu que nous avons pu identifier des lacunes apparemment inoffensives. Nous avons tiré profit de ces défauts, en les combinant, pour élaborer une méthode de création de clés passe-partout. »
F-Secure a informé le fabricant Assa Abloy des résultats de cette recherche. Durant l’année qui vient de s’écouler, les deux entreprises ont collaboré pour mettre au point des patchs permettant de corriger le problème. Les hôtels concernés peuvent désormais accéder aux mises à jour correspondantes.
« Je tiens à remercier personnellement l’équipe R&D d’Assa Abloy, qui a volontiers collaboré afin de corriger ces problèmes », a déclaré Tomi Tuominen. « Grâce à la détermination d’Assa Abloy et à sa volonté de remédier aux problèmes que nous avons identifiés, le monde de l’hôtellerie est désormais plus sûr. Nous encourageons vivement tout établissement utilisant ce logiciel à installer la mise à jour dès que possible. »
Avis de non-responsabilité : Aucune chambre d’hôtel n’a été victime d’une effraction au cours de cette recherche. Les outils élaborés ne seront pas mis à disposition.
source : F-Secure