Une enquête alarmante révèle que les chambres de milliers d’hôtels peuvent se déverrouiller avec de fausses cartes électroniques. Les chercheurs assurent qu’un pirate peut très facilement se procurer un badge pour ouvrir toutes les portes d’un établissement.
Faut-il prendre des précautions drastiques pour sa propre sécurité au moment de réserver une chambre d’hôtel ? Il faut savoir que sur Booking, des pirates peuvent se cacher derrière les comptes officiels de certains établissements lors des campagnes de phishing.
En plus de devoir se montrer prudent lors de la réservation, vous devriez maintenant vous méfier… du système de sécurité de la porte de votre chambre. Des chercheurs dévoilent que des milliers de portes de chambres d’hôtels sont vulnérables au piratage.
Les chambres de milliers d’hôtels peuvent s’ouvrir avec de fausses cartes
En septembre 2022, les chercheurs Lennert Wouters, Ian Carroll, « rqu », BusesCanFly, Sam Curry, « sshell » et Will Caruana se sont penchés sur une série de graves failles de sécurité dans les serrures électroniques RFID Saflok de Dormakaba utilisées dans les hôtels et les logements collectifs. Ils viennent de publier les alarmants résultats de leurs investigations.
« Les faiblesses identifiées permettent à un pirate de déverrouiller toutes les chambres d’un hôtel à l’aide d’une seule paire de cartes clés falsifiées. Plus de trois millions de serrures d’hôtel dans 131 pays sont concernées », indique la recherche Unsaflok, détournée du nom du système de l’industriel suisse.
À lire > Le premier hôtel dans l’Espace ouvrirait ses portes en 2027
Pour déverrouiller une porte, il suffit au hacker lire une carte électronique de l’hôtel, qu’elle soit valide ou expirée, avec n’importe quel outil capable d’écrire des données sur une carte. Ensuite, il peut ouvrir toutes les portes de l’établissement avec son faux passe.
Heureusement, le personnel de l’hôtel peut détecter certaines attaques en vérifiant les journaux d’entrée et de sortie d’une serrure. Surtout, les chercheurs ont informé Dormakaba de cette faille de sécurité majeure dès leur découverte en 2022. En novembre dernier, les premiers établissements commençaient alors à mettre à jour les serrures vulnérables. À ce jour, 36 % d’entre elles ne présentent plus de faille.
« La mise à niveau de chaque hôtel est un processus intensif. Toutes les serrures nécessitent une mise à jour logicielle ou doivent être remplacées. En outre, toutes les cartes électroniques doivent être réémises, le logiciel de la réception et les encodeurs de cartes doivent être mis à jour », précise l’étude.
Pour un particulier, difficile de savoir si une serrure a été modifiée. En revanche, si un hôtel utilise des badges MIFARE Ultralight C et non des MIFARE Classic, cela signifie que la faille n’existe plus dans l’établissement, rassure les chercheurs.
- Des chercheurs révèlent que les chambres de milliers d’hôtels peuvent être déverrouillées avec de fausses cartes
- Un pirate n’a besoin que d’une carte valide ou expirée d’un établissement pour ouvrir toutes les portes
- Un tiers des trois millions de serrures vulnérables a été mis à jour depuis novembre 2023