Quand une société est victime d'un ransomware, cela peut avoir d'importantes conséquences. En Autriche, une cyberattaque a ainsi paralysé les ordinateurs d'un hôtel, qui a décidé de payer la rançon demandée. Un coup de semonce qui rappelle que cela n'arrive pas forcément qu'aux autres.
Depuis quelques jours, l'information fait le tour du Web : l'hôtel Romantik Seehotel Jägerwirt se serait fait pirater et des clients se seraient retrouvés piégés à ne plus pouvoir entrer ou sortir de leur chambre. C'est du moins ce qu'affirmait le site The Local dans un premier temps, avant de se rétracter. Finalement, la situation est moins catastrophique, mais soulève une nouvelle fois la question de la cybersécurité.
Victime d'un ransomware, le système informatique d'un hôtel paralysé
Dans des interviews accordées à plusieurs de nos confrères, dont ceux de Motherboard, le propriétaire de l'hôtel Cristoph Brandstaetter explique que « c'était juste une cyberattaque normale et aucun invité n'a été enfermé dans sa chambre ». Il précise que les pirates ont visé le système informatique de l'hôtel et ont réussi à installer un ransomware sur les machines, les rendant inutilisables par les employés.
L'hôtel ne pouvait alors plus éditer de nouvelles cartes pour accéder aux chambres, mais celles déjà émises fonctionnaient normalement affirme le responsable. Il indique en effet que les serrures électroniques fonctionnent sur un réseau interne qui n'était pas relié aux ordinateurs infectés.
Le propriétaire décide de payer la rançon... et repassera à des clés traditionnelles
Cristoph Brandstaetter ajoute qu'au bout de 24 heures avec son système informatique bloqué, il a décidé de payer la rançon (environ 1 500 euros), ce qui lui a permis d'accéder de nouveau à ses ordinateurs. Il précise qu'il a évidemment contacté la police locale, qui lui aurait précisé que plusieurs autres sociétés ont été attaquées de la même manière ces derniers temps. Par mesure de sécurité, il a remplacé l'ensemble des ordinateurs infectés afin d'éviter qu'une éventuelle porte dérobée ne soit utilisée par la suite.
Bref, une attaque qui n'a rien d'exceptionnel dans son principe, mais qui peut avoir de fâcheuses conséquences pour les sociétés touchées. Concernant les demandes de rançon, deux écoles s'opposent. D'un côté le FBI qui conseille « souvent aux gens de payer simplement » et de l'autre l'ANSSI qui recommande de ne pas payer. L'Agence nationale de la sécurité des systèmes d'information explique que « le paiement ne garantit en rien le déchiffrement de vos données ».
Le propriétaire de l'hôtel, Cristoph Brandstaetter, semble échaudé par cette aventure. Il explique ainsi à nos confrères que lors de la prochaine rénovation, il prévoit de « changer le système de clés pour revenir aux anciennes ». Il ajoute que s'il revient publiquement sur cette histoire, c'est notamment pour prévenir les autres sociétés des risques. Mais il s'agit aussi de préciser qu'aucun client n'était enfermé dans sa chambre, ce qui aurait évidemment eu des conséquences plus graves, notamment si cela avait dû durer 24 heures.
Un problème qui soulève la question des objets connectés
La question de la protection des systèmes informatiques et des ransomware va prendre de l'importance durant les prochaines années avec l'explosion annoncée des objets connectés. Si dans le cas d'une lampe les risques sont relativement faibles, c'est une tout autre histoire quand il est question de serrures connectées. Lors de la Defcon, des chercheurs avaient percé les « défenses » de plusieurs d'entre elles... alors qu'elles ont le vent en poupe. Le CES de Las Vegas était ainsi l'occasion pour de nombreux fabricants de dévoiler leurs nouveautés dans ce domaine.
La question se posera également avec les voitures connectées/autonomes qui commencent à arriver chez de nombreux fabricants. Nous avons déjà pu avoir un avant-goût de ce que pourrait être le futur avec les nombreux ransomwares de ces dernières années. Pêle-mêle nous pouvons citer Locky qui a touché nos confrères de l'AFP, l'application Transmission pour macOS ainsi que SynoLocker qui chiffrait l'ensemble des données de votre NAS.
Prudence est mère de sûreté
Si le vecteur d'infection est souvent une pièce jointe piégée (on ne rappellera jamais assez l'importance de ne pas cliquer n'importe où et de ne pas ouvrir n'importe quoi), il est parfois question d'une faille de sécurité (d'où l'importance des mises à jour de sécurité) ou d'un mot de passe trop faible. Sur ce dernier point, nous avons récemment mis en ligne un dossier sur les mots de passe et les gestionnaires.
Commentaires (119)
Il faudrait le faire avec les voitures et un cale volant comme avant ^^
Eh beh ça promet pour les années à venir. À mon avis on n’est pas près d’arrêter de voir des incidents de ce genre un peu partout en foutant des systèmes informatiques protégés avec les pieds à tous les étages.
alors qu’il suffirait de dissocier reseau interne/reseau externe
le mec ses ordis sont infectés, il les change directement, il a de la tune à perdre.
Faut avouer qu’on sait pertinemment que la sécurité est inversement proportionnelle à la simplicité…
Donc quand on voit que toutes nouveautés en informatique promettent toujours plus de simplicité, faut pas chercher ailleurs !
Je vois pas comment un serveur qui n’a pas a être connecté à internet a pu chopper un ransomware…
Encore un problème d’ICC.
kurgan187 : C’est effectivement une recommandation qu’a fait la police à un de mes voisins qui s’est fait voler son véhicule : ils ont expliqué que les voleurs ont forcé la fenêtre, et on branché sur la prise diagnostique, et ont pu obtenir les informations nécessaires pour se créer une clé. Ils sont ensuite tranquillement parti au volant de la voiture. La canne qui bloque le volant, c’est plus dur à pirater, et ça n’est pas très discret à attaquer à la disqueuse :-).
Parce que dans les chambres il y a un accès de maintenance quelque part qui est une prise rj45 / usb ?
Parce que le réseau est accessible via wifi / bluetooth / RFID ?
Tu sais le pirate est peut etre juste un petit malin du coin qui fait tous les hôtels.
A notre époque, on peut réserver certains hôtels directement en ligne et se rendre sur place sans aucune intervention humaine tierce (pratique si t’es à l’improviste bloqué dans une ville à 2h du matin).
Il y a certes des serveurs intermédiaires, mais ça laisse forcément une faille potentielle pour un accès de l’extérieur.
C’est plus trop cher des ordis de nos jours..
Pas de client bloqué dans sa chambre, pas étonnant vu qu’on n’a pas besoin de clé pour sortir.
Mais si les clés déjà attribuées avaient cessé de fonctionner, les clients bloqués en dehors de leur chambre (avec toutes leurs affaires dans celle-ci) se seraient trouvés plutôt mal.
Vu la mauvaise pub que les premiers article lui ont fait, il a intérêt à montrer plus que pattes blanches.
De plus il doit pas avoir des masses de PC non plus.
le plus efficace c’est encore d’avoir une voiture que personne ne souhaite te voler :)
Ça me fait penser à Black Mirror que je viens de commencer hier sur Netflix. Déjà ca commence avec l’histoire du cochon…
😮😅
Ca me rappelle un pote de mon père qui s’est fait voler une BMW avec l’aide de la police municipale, l’alarme criait, le type leur a dit que c’était pour ça qu’il devrait l’emmener au garage que l’alarme déconnait.
Bon c’était dans la campagne et il y a 25 ans, mais déjà à l’époque, embarquer une voiture sur un plateau, c’était simple, suffisait d’avoir plus d’assurance que ceux qui posent des questions.
J’espère qu’il a changé que les disque dur et pas le pc entier quand même….
Vous verrez que dans quelques temps les ransomware apparaîtront sur votre TV et là ça sera soit payer soit changer de TV…
Et aujourd’hui ce n’est même plus possible d’acheter une TV non connectée, ça n’existe plus.
Et quand ils vont s’apercevoir que les serrures classiques sont également vulnérables, vont ils remplacer les portes par des rochers ou simplement retirer les serrures ?
Prochaine étape : des utilisateurs de sextoys connectés restent coincés après une attaque par ransomware.
😮😅
Des clients se seraient retrouvés piégés à ne plus pouvoir entrer ou sortir de leur chambre. C’est du moins ce qu’affirmait le site The Local dans un premier temps, avant de se rétracter.
Ou l’art d’écrire un article pour faire du buzz sans même vérifier l’info, ça c’est du journalisme !
J’avoue que j’ai été choqué aussi, je ne m’attendais pas à ça. Effectivement pour pondre un tel scénario faut déjà avoir de graves soucis psychiatriques ou être sous l’emprise de puissantes drogues. Je pense continuer pour voir histoire de rentabiliser le compte Netflix.
" />
Dans l’histoire de la TV connectée il semblerait que les sources inconnues aient été activées et qu’un logiciel tiers a été installé. Donc bon il faut relativiser.
" />
Et il est pas obligé d’avoir une TV tout court.
" />
C’est l’épisode le plus trash de la série, les autres sont plus soft, promis ! Ça serait bête de passer à coté d’une excellente série à cause de l’épisode 1
" />
Pas des clé de TSA j’espère.
Le serveur qui encode les carte, et qui n’a meme pas de raison d’etre un serveur, n’a pas à etre sur un réseau ouvert, il n’a meme pas besoin d’etre en réseau du tout.
J’ai essayé la télé connectée, c’est rigolo, mais au bout de 10 jours, ca ne m’apportait rien, donc j’ai déconnecté. J’ai rebranché 1 fois depuis, et j’ai eu une MàJ de la télé qui m’a apporté l’enregistrement.
" /> Et j’ai redébranché. 
" />
Ca me fait penser ce qui s’est passé à mon bureau l’an dernier : une serrure “connectée” sur la porte d’entrée, avec appli iPhone/android, gestion des comptes et des badges etc, bref le commercial était content de son joujou.
" />
Quelques temps plus tard, nous avons remarqué que la serrure se déverrouillait toute seule durant la nuit : n’importe qui pouvait rentrer (en particulier, le premier arrivé au bureau le matin n’avait pas besoin d’utiliser son badge).
Le mec du support est venu, a constaté, a visiblement reconnu que c’était un bug. Nous sommes revenu à une serrure mécanique
Je trouve ça risible (que mon patron ait voulu une telle serrure), et un peu flippant quand même.
Entre payer un mec à qui ça va prendre du temps de tout nettoyer et racheter des PC de daube qui sont sûrement suffisants pour faire 3 clics sur un logiciel ouvert H24, pas sûr que la différence soit énorme.
Comment demander à une structure, dont ce n’est pas le métier, de mettre en œuvre une politique de sécurité dans un milieu aussi mouvant que l’informatique ?
La décision de passe aux objets connectés à du être prise à la va vite pour être dans la hype..
Faudrait surtout que l’hôtelier explique l’intérêt des serrures connectées (pour les clients de l’hôtel)…
Ca fait moderne sur la brochure de l’hôtel ?
Et en cas de pépin informatique (local) il fait quoi ? Il n’a pas de système alternatif ?
.
Ah ben non, c’est un téléviseur qui enregistre la télévision (à dire vrai, je n’ai pas essayé autre chose….)
sauf que changer toutes les serrures d’un hôtel et les bloquer sans se faire repérer c’est ‘achement plus dur.
Vivent les objets connectés …
" />
Il fallait s’y attendre !
C’est comme l’appel des photographes aux constructeurs pour avoir la possibilité de chiffrer les photos à la volée. L’idée serait superbe mais l’investissement gigantesque.
euh et il communique comment avec les portes des chambres sans être en réseau ? (oui tu pourrais le faire en mode “au premier passage de la carte” mais c’est limite plus dangereux qu’autre chose)
Parce que non tu ne gardes pas les mêmes numéros de clé à chaque client qui va dans la chambre hein… <_<‘
Rien ne t’obliges à connecter la TV au LAN de la maison. Donc que les TV non connecté n’existe plus, c’est pas un problème.
" />
Edit : mega multi grillé. Sorry.
Sans revenir à la clé faudra m’expliquer en quoi un hôtel à besoin d’un système de fermeture centralisé et en remote-access.
Une serrure électronique locale à carte ou a code suffit largement.
Ah ? J’apprends donc que ma tv qui n’est pas physiquement connecté via son port rj45 est malgré tout connectée ? Diantre
" />
Ca devait être la derniere
" />
En cas de perte d’une clé dans ton cas tu es obligé d’avoir un double de la carte ou de pouvoir en générer un. Avec un système centralisé, tu peux prendre n’importe quelle carte et l’affecter à n’importe quelle chambre (une ou plusieurs, pour le personnel), leur donner des dates ou horaires de validité, et surtout retirer tout accès à une carte perdue.
Grillé.
On pourrait revenir à un compromis entre les deux.
Une serrure numérique avec chiffrement RSA 256 bits délivré sur papier.
indice: ta voiture n’a pas de prise ethernet.
Ah… et tous ces tocards et blaireaux qui nous disent que les objets connectés sont l’avenir et ne sont pas dangereux…
Les remèdes de nos grands-mères pour nous faciliter la vie au quotidien valent parfois bien mieux que tous ces objets connectés, piratables et donc dangereux, qui plus est.
Bref, l’high-tech se révèle parfois pire que l’archaïsme…
Pourtant, ce n’est pas faute d’avoir de nombreux articles écris par des personnes sérieuses, qui mettent en avant la dangerosité des objets connectés et des véhicules connectés. Ceux-ci sont des failles de sécurité à eux tout seul. Mais les constructeurs et concessionnaires ne les écoutent pas, les objets et véhicules connectés se révélant être certainement la prochaine poule aux oeufs d’or dans le high-tech et dans le marché de l’automobile. Quand aux geeks, ils ont les yeux crevés et le monde de la high-tech a réussit à leur faire un lavage de cerveau.
Si tu cherches une télé non connectée, c’est simple, tu branches pas le câble RJ45, tu ne lui donnes pas le SSID, ni mot de passe du wifi, et puis quand même, t’ouvres pas ton LAN comme si c’était un moulin…
Faut peut-être arrêter de s’emballer avant de râler sur les objets connectés (et ça concerne l’article au dessus de ces commentaires). Non que les considérations sur leur sécurité doivent être ignorées, mais là, on a juste l’impression que l’article et les lecteurs mettent ça sur le tapis parce que c’est la mode.
J’ai bossé dans le contrôle d’accès il y a 20 ans, et connecter des lecteurs de badges et des gâches électriques à un système centralisé n’avait déjà rien de nouveau à l’époque.
Et en l’occurrence, il est peut probable que le ransomware ait effectuer la moindre attaque sur ces matériels. Il a probablement plus simplement chiffré la base de données du logiciel de gestion d’accès, et ils ont de nouveau été opérationnels au moment où elle a été rétablie. Rien à voir avec un four micro-onde connecté qui devient un zombie à DDOS parce que le login/mot de passe est admin/admin par défaut.
Par ailleurs, même sans ça, le ransomware aurait fait du dégât chez eux : les logiciels et bases de données de gestion, clientèle, comptabilité, réservation ? Ils ont probablement morflé au passage, et curieusement, comme ça ne concerne pas les objets connectés, personne n’envisage de revenir aux livres de compte ou aux cahiers de réservation pour éviter ce genre d’attaque.
Brrr… J’ai peur pour les gens avec des frigos connectés :
“- Payez la rançon ou sinon on laisse passer la date de péremption de vos produits !”
Même pas car à ce moment là…. On les brûlent …. :-(
Je rejoins ce que tu dit, ils disent bien que le système de serrure n’as pas été touché.
Voila le fonctionnement que je suppose pour les serrures :
Chaque serrure contient une clé privé, pas besoin qu’elle sois connecté.
Une bdd contient les clé public de chaque serrure. Quand une carte est codé, les données nécessaire sont inscrite sur la carte, si la serrure peut lire les données ( la plage horaire ou une durée à partir de la 1ere utilisation, etc ) la porte s’ouvre.
Et pour les cartes de maintenance ou les passes partout c’est d’autres clé qui sont utilisé avec d’autre instruction. A partir du moment où le serveur de bdd a été chiffré, impossible de générer de nouvelle carte puisque les clé public étais incessible mais le reste étant hors réseau est toujours fonctionnel.
Ont est bien loin des objets connecté ici, juste des postes et un serveur un peu trop facilement accessible.
La classique pièce jointe qui est allé chiffrer les postes et les lecteurs réseaux parce que rien n’est isolé comme il faut.
Faut arrêter de tirer sur l’ambulance Fillon !
" />
Ou pas !
Tout cela est bel et bien beau, mais cette histoire n’est pas une histoire d’objet connecté, en tout cas pas au sens à la mode du terme.
Tu dis ça pour la blague, j’imagine, mais juste au cas ou Mme Michu passerait par là : les serrures classiques n’empêcheront pas les ransomwares, juste que les clients s’en rendent compte le moment où ils feront leur œuvre.
Il y a dans toute serrure magnétique des hôtels une possibilité, soit d’ouverture par pass partout magnétique, soit d’ouverture forcé électroniquement par infrarouge ou encore parfois par simple clé..
Tsssss, c’est pas nouveau pourtant.
Un problème qui soulève la question des objets connectés
C’est surtout un problème qui souleve la question des backups à mon avis…
pirater des serrures connectées c’est facile, souvenez vous de la petite fille dans “jurrasic park” !
“c’est un système sous Unix !” ouais facile :)
Exact.
Faire passer les utilisateurs mac pour des noobs et ceux de Windows pour des power user c est quand même marrant quand tu vois ce que Windows est devenu. Un système hybride entre tablette tactile et ordinateur d eveil pour nouveau né.
Que les utilisateurs Windows soit plus habitués à etre vérolés, je veux bien le croire.
Quand tu achète un ordi deja vérolé à la base, avec 50 applications du fabricant pré-installées qui te file un antivirus qui est deja un ransomware, en te demandant de passer à la caisse au bout d un mois d une facon menacante alors qu il y a deja Windows defender en natif sur le pc.
Résultat à la fin de période d essai l utilisateur panique est telecharge tous les antivirus gratuits qui trainent, ces derniers étant souvent blindés de virus et spyware, se retrouve avec un tas de bouse qui met 30 minutes à demarrer.
Et toi tu viens depanner avec ton malwarebyte qui t affiche une liste de 1200 objets dangereux.
Quand à celui qui conseil utorrent à la place de transmission…
Et blablabla microsoft c’est mieux, apple c’est mieux, linux c’est mieux. Vous n’en avez pas assez de tourner en rond ?
Sinon, je pose ça là :
https://motherboard.vice.com/en_uk/read/luxury-hotel-goes-analog-to-fight-ransom…
And I quote :
“This is totally wrong,” hotel owner Cristoph Brandstaetter told Motherboard. “It was just a normal cyberattack and no guests were locked in.”
Tu devrais lire plus d’un commentaire
" /> ET l’article, c’est écrit dedans 
" />