Des pirates créent un passe-partout qui peut débloquer des millions de chambres d’hôtel

Par

le

Des chercheurs de F-Secure, Timo Hirvonen et Tomi Tuominen, ont signalé à la presse qu’ils avaient trouvé un moyen de pirater des cartes magnétiques de chambres d’hôtel.

Presque tous les hôtels aujourd’hui ont commencé à utiliser des cartes magnétiques plutôt que des clés classiques. Ces systèmes de verrouillage de porte informatisés pouvaient être considérés comme sûrs jusqu’à présent.

Des chercheurs de F-Secure, Timo Hirvonen et Tomi Tuominen, ont créé un dispositif exécutant un logiciel personnalisé capable de créer une clé maîtresse «à la volée». Ils ont exploité les vulnérabilités du logiciel de verrouillage de porte Vision by VingCard développé par la société suédoise Assa Abloy. Leur système de verrouillage électronique des portes est utilisé dans des millions de chambres d’hôtel à travers le monde.

Tous les chercheurs ont besoin d’une carte-clé appartenant à l’hôtel cible. Peu importe si elle a été rejetée ou expirée depuis des années parce qu’elle contient des informations qui peuvent être utilisées.

En quelques minutes, la carte principale créée après la récupération des données par RFID, l’identification par radiofréquence sans fil, ou par bande magnétique. Elle peut être utilisée pour accéder à n’importe quelle serrure affectée dans l’hôtel cible sans que personne ne s’en aperçoive. Le hack peut fonctionner pour un garage, un placard ou tout autre endroit où le système de verrouillage Assa Abloy est utilisé.

L’idée de créer une telle chose a germé il y a une dizaine d’années quand un ordinateur portable de leur collègue a été volé dans une chambre d’hôtel. L’hôtel ne les a pas pris au sérieux car il n’y avait pas trace d’entrée non autorisée.

Les chercheurs ont alors commencé à travailler sur leur dispositif de fabrication de carte-clé maîtresse. Ils ont choisi Assa Abloy car la marque est populaire et connue pour sa sécurité et sa qualité.

Concevoir le système n’a pas été facile. Au cours de leurs années de travail, ils ont dû acquérir une compréhension approfondie des tenants et aboutissants du système de verrouillage. Ils ont été capables de produire l’attaque après avoir combiné les petites meurtrières. C’était un effort d’essais et d’erreurs qui a nécessité des milliers d’heures de travail de façon intermittente.

Assa Abloy a été informé de la faille de sécurité l’année dernière, et les chercheurs ont travaillé avec l’entreprise pour développer une solution. Une mise à jour est disponible, mais elle doit être installée manuellement sur chaque serrure de porte affectée. On ne sait pas combien de clients concernés de l’entreprise l’ont appliqué à leurs systèmes.

Les chercheurs ont choisi de ne pas publier les outils de piratage et ils n’ont pénétré dans aucune chambre d’hôtel. En outre, ils ne savent pas si quelqu’un d’autre utilise cette attaque particulière dans la nature.


Articles recommandés