Cartes-clés RFID dans les hôtels : une importante faille corrigée
Le 27 avril 2018 à 10h37
2 min
Sciences et espace
Sciences
Deux chercheurs de F-Secure, Timo Hirvonen et Tomi Tuominen, se sont tournés vers un constructeur de cartes RFID servant de clés dans les hôtels. Un intérêt déclenché par la mésaventure d’un collègue, dont le portable avait été volé dans la chambre d’hôtel en pleine conférence à Berlin. L’hôtel, sans preuve d’effraction, avait refusé de tenir compte de la plainte.
L’enquête s’est concentrée sur l’entreprise suédoise Assa Abloy. Hirvonen et Tuominen ont découvert une importante faille de sécurité dans le logiciel de gestion des clés, nommé Vision.
Pas forcément simple à trouver, mais très facile à exploiter : il suffit de récupérer n’importe quelle carte de l’établissement visé, quelle que soit la pièce de l’hôtel qu’elle doit protéger (comme le garage). L’opération reste même possible si la carte est périmée.
De là, avec un investissement de quelques centaines de dollars, un pirate peut analyser la carte et en extirper la clé maîtresse. Ils peuvent alors modifier la carte pour la rendre compatible avec l’ensemble des pièces d’un hôtel. Traduction, s’introduire dans les chambres et dérober ce qu’ils veulent, sans signe d’effraction (il reste les caméras de sécurité).
Notez que ces découvertes ont été faites l’année dernière et qu’Assa Abloy a été secrètement informée dans la foulée. Selon les chercheurs, l’entreprise a réagi très rapidement. Les hôtels concernés, normalement avertis, sont invités à mettre à jour le logiciel aussi rapidement que possible.
Le 27 avril 2018 à 10h37
Commentaires (5)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 27/04/2018 à 10h57
Timo et Tomi sont dans un bateau …. " /> (pas taper c’est dredi)
Le 27/04/2018 à 13h03
Finalement les clés c’est pas si bête comme système…
Le 27/04/2018 à 15h12
Rapport qualité/prix, on a jamais fait mieux qu’une bonne vieille clé." />
Le 28/04/2018 à 14h40
La bonne vieille clé souffre elle aussi du même genre de faille : pour être utilisable en environnement collectif (hôtel, entreprise etc …) les canons doivent pouvoir être ouverts par une clé “privée” que seul l’utilisateur principal possède ET par une(voir parfois plusieurs) clé “passe” pour le personnel de ménage, maintenance, etc …
Si tu arrive à te procurer une copie du passe tu as de fait accès à toutes les pièces équipés des canons correspondant (comme les passes PTT servant à ouvrir n’importe quelle boite à lettres normalisée qui sont assez faciles à se procurer)
Ajoute à ça que ce genre de canon sur mesure coûte assez cher(multiplié par les dizaines/centaines de chambres d’un hôtel) et qu’au cas où le passe est compromis il faut toutes les remplacer physiquement et tu comprend pourquoi les clés mécaniques ont complètement disparues des hôtels au profit de cartes magnétiques
Le 28/04/2018 à 17h05