LEBIGDATA.FR I.A, Cloud & Cybersécurité
Heureusement, ce sont des hackers éthiques qui ont trouvé cette faille des serrures Saflok. Sinon, des centaines d'hôtels auraient eu un sérieux problème.
Jeudi, des hackers éthiques du collectif Unsaflok ont dévoilé une importante faille de sécurité des serrures électroniques Saflok. Celle-ci permet de falsifier des cartes-clés pour déverrouiller n'importe quelle serrure à risque. Cette faille compromet la sécurité de trois millions de portes réparties dans le monde.
Cette importante faille de sécurité concerne principalement les modèles suivants : MT, TR, Quantum, Confidant et Saffire. Il faut également savoir que les serrures MT et RT sont les plus répandues.
D'autre part, les établissements hôteliers sont les plus gros utilisateurs des serrures électroniques Saflok. 13 000 bâtiments éparpillés dans 131 pays sont équipés de ces modèles vulnérables, précise Unsaflok dans son rapport.
Comment exploiter cette faille des serrures Saflok ?
Le déverrouillage des portes avec une serrure Saflok vulnérable nécessite une paire de cartes-clés MIFARE Classic et un appareil capable d'écrire des données sur une carte.
Précisons que la carte MIFARE Classic soit valide ou expirée ne change rien. D'autre part, un smartphone Android doté de la technologie NFC suffit pour la falsification des clés.
La manœuvre consiste à la création d'une paire de fausses cartes-clés. La première carte sert à modifier les données de la serrure, tandis que la deuxième va déverrouiller la porte.
Par ailleurs, le service de sécurité peut déterminer si une seconde carte-clé a été utilisée pour ouvrir une porte. Cela se fait en consultant les registres d'entrée et de sortie de la serrure avec un appareil HH6.
En revanche, il est difficile de savoir si une entrée suspecte est l'œuvre d'un membre du personnel de l'hôtel ou si c'est un client qui utilise la mauvaise carte.
Des serrures vulnérables en circulation depuis des décennies
Les hackers éthiques ont découvert cette faille des serrures Saflok lors d'une convention de hacking à Las Vegas en 2022. Ils ont immédiatement partagé leurs travaux à Dormakaba, le fabricant des serrures.
Corriger la faille de ces trois millions de serrures est un défi colossal, voire impossible. Cela nécessite la mise à jour ou le remplacement de nombreux éléments.
À ce jour, Dormakaba n'a dépanné que 36 % des serrures vulnérables.
D'autre part, certains modèles sont en circulation depuis 1988. Il se peut donc que quelqu'un d'autre ait théoriquement pu trouver une méthode pour exploiter cette faille de sécurité.
Néanmoins, le fabricant fait savoir dans un communiqué « à ce jour, aucun cas d'exploitation de ce problème n'a été signalé ».
La porte de votre chambre d'hôtel, est-elle sûre ?
Unsaflok s'est gardé de ne pas rendre public tous les détails sur la vulnérabilité. Cela pour des raisons de sécurité évidentes.
Il ne faut pas que des personnes, avec de mauvaises intentions, puissent exploiter la faille. Il s'agit également de laisser du temps aux utilisateurs pour mettre à jour leurs installations.
D'autre part, vous avez la possibilité de vérifier la fiabilité de la serrure électronique de votre chambre, si vous séjournez dans un hôtel.
Pour cela, vous pouvez utiliser l'application NFC Taginfo. Cette dernière vous permet de vérifier le type de carte pour le déverrouillage de la porte.
Dans la mesure où c'est une carte-clé MIFARE Classic, vous saurez donc que la serrure de votre porte possède cette vulnérabilité.
- Partager l'article :
