Connexion
Abonnez-vous

Cartes-clés RFID dans les hôtels : une importante faille corrigée

 Cartes-clés RFID dans les hôtels : une importante faille corrigée

Le 27 avril 2018 à 10h37

Deux chercheurs de F-Secure, Timo Hirvonen et Tomi Tuominen, se sont tournés vers un constructeur de cartes RFID servant de clés dans les hôtels. Un intérêt déclenché par la mésaventure d’un collègue, dont le portable avait été volé dans la chambre d’hôtel en pleine conférence à Berlin. L’hôtel, sans preuve d’effraction, avait refusé de tenir compte de la plainte.

L’enquête s’est concentrée sur l’entreprise suédoise Assa Abloy. Hirvonen et Tuominen ont découvert une importante faille de sécurité dans le logiciel de gestion des clés, nommé Vision.

Pas forcément simple à trouver, mais très facile à exploiter : il suffit de récupérer n’importe quelle carte de l’établissement visé, quelle que soit la pièce de l’hôtel qu’elle doit protéger (comme le garage). L’opération reste même possible si la carte est périmée.

De là, avec un investissement de quelques centaines de dollars, un pirate peut analyser la carte et en extirper la clé maîtresse. Ils peuvent alors modifier la carte pour la rendre compatible avec l’ensemble des pièces d’un hôtel. Traduction, s’introduire dans les chambres et dérober ce qu’ils veulent, sans signe d’effraction (il reste les caméras de sécurité).

Notez que ces découvertes ont été faites l’année dernière et qu’Assa Abloy a été secrètement informée dans la foulée. Selon les chercheurs, l’entreprise a réagi très rapidement. Les hôtels concernés, normalement avertis, sont invités à mettre à jour le logiciel aussi rapidement que possible.

Le 27 avril 2018 à 10h37

Commentaires (5)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Timo et Tomi sont dans un bateau …. <img data-src=" /> (pas taper c’est dredi)

votre avatar

Finalement les clés c’est pas si bête comme système…

votre avatar

Rapport qualité/prix, on a jamais fait mieux qu’une bonne vieille clé.<img data-src=" />

votre avatar

La bonne vieille clé souffre elle aussi du même genre de faille : pour être utilisable en environnement collectif (hôtel, entreprise etc …) les canons doivent pouvoir être ouverts par une clé “privée” que seul l’utilisateur principal possède ET par une(voir parfois plusieurs) clé “passe” pour le personnel de ménage, maintenance, etc …

Si tu arrive à te procurer une copie du passe tu as de fait accès à toutes les pièces équipés des canons correspondant (comme les passes PTT servant à ouvrir n’importe quelle boite à lettres normalisée qui sont assez faciles à se procurer)



Ajoute à ça que ce genre de canon sur mesure coûte assez cher(multiplié par les dizaines/centaines de chambres d’un hôtel) et qu’au cas où le passe est compromis il faut toutes les remplacer physiquement et tu comprend pourquoi les clés mécaniques ont complètement disparues des hôtels au profit de cartes magnétiques

votre avatar







Guinnness a écrit :



La bonne vieille clé souffre elle aussi du même genre de faille : pour être utilisable en environnement collectif (hôtel, entreprise etc …) les canons doivent pouvoir être ouverts par une clé “privée” que seul l’utilisateur principal possède ET par une(voir parfois plusieurs) clé “passe” pour le personnel de ménage, maintenance, etc …

Si tu arrive à te procurer une copie du passe tu as de fait accès à toutes les pièces équipés des canons correspondant (comme les passes PTT servant à ouvrir n’importe quelle boite à lettres normalisée qui sont assez faciles à se procurer)



Ajoute à ça que ce genre de canon sur mesure coûte assez cher(multiplié par les dizaines/centaines de chambres d’un hôtel) et qu’au cas où le passe est compromis il faut toutes les remplacer physiquement et tu comprend pourquoi les clés mécaniques ont complètement disparues des hôtels au profit de cartes magnétiques







Si tu arrives à te procurer un passe, et seulement si. C’est beaucoup plus compliqué que de se procurer un scan rfid. De plus, tu peux avoir une serrure “normale” avec un double pour chaque chambre, il y a plein d’hotels qui n’ont qu’une dizaine de chambres, pas plus. Si il y a plus de chambres, c’est dans les groupes hoteliers ou les “femmes de ménage” sont plusieurs, et peuvent facilement se répartir les trouseaux.

Faux problème, vrai marketing.


Cartes-clés RFID dans les hôtels : une importante faille corrigée

Fermer