Ce qui a commencé comme un défi parallèle aux conférences sur la sécurité Black Hat en 2022 est devenu une étude aux résultats très intéressants et terrifiants. Et un groupe de chercheurs a trouvé une méthode capable de violer la sécurité d'un modèle de Serrures RFID largement utilisé dans les hôtels. Et on estime qu’il en existe plus de 3 millions d’unités dans le monde.
Serrures d'hôtel pouvant être ouvertes avec un téléphone Android
Bien que la question soit assez préoccupante, il faut commencer par dire que, comme dans la plupart de ces types de cas, il faut certaines exigences et connaissances qui ne sont pas accessibles à tout le monde. Pour cette raison, ce n’est peut-être pas quelque chose à traiter avec trop d’inquiétude, mais il est intéressant de savoir comment, avec les connaissances nécessaires, nous pourrions ouvrir des millions de chambres d’hôtel dans le monde.
La clé est dans le modèle de serrure, car ce sont elles qui saflok de la marque suisse Dormakaba ceux que les chercheurs ont pu forcer et ont fini par révéler leur vulnérabilité. Il leur a fallu un an et demi pour perfectionner la méthode, mais elle semble aujourd’hui tout à fait efficace.
Comment ça se fait
Pour des raisons plus qu'évidentes, les chercheurs n'ont pas partagé les détails du hack, ils ont simplement énuméré les étapes qui sont réalisées pour pouvoir visualiser le processus en question. Tout d'abord, vous avez besoin obtenir une clé officielle de l'hôtel, soit en réservant une chambre, soit en obtenant l'une des consignes à bagages où les bagages usagés sont déposés après le check-out.
Avec la clé obtenue, vous devez faire une lecture de même avec un appareil qui peut coûter environ 300 euros. L'idée est obtenir un code spécifique qui est stocké dans toutes les clés. Avec ces informations, deux cartes différentes doivent être programmées, l'une qui réécrit les données de la serrure que vous souhaitez ouvrir et l'autre qui se charge d'ouvrir définitivement la porte.
Ce qui est intéressant, c'est qu'avec le premier code, les clés nécessaires pourraient déjà être générées, et c'est là qu'un téléphone Android avec NFC ou un Flipper Zero pourrait simplifier et même automatiser les choses, ce qui réduirait également les coûts du processus.
Une mise à jour imminente
Heureusement, les chercheurs discutent avec Dormakaba depuis longtemps et le fabricant travaille déjà à résoudre le problème avec ses clients. En gros, tout ce dont vous avez besoin est mettre à jour ou remplacer l'unité de contrôle afin qu'un technicien puisse mettre à jour tous les verrous liés à partir de celui-ci.
La question que nous nous posons maintenant est la suivante : existe-t-il des verrous plus vulnérables ? Comme toujours, tout ce qui est électronique et intelligent est susceptible d'être attaqué, donc rien de mieux qu'une clé physique et une bonne serrure à l'intérieur pour éviter les problèmes. Vous ne pensez pas?
source: Câble