Des pirates informatiques ont découvert une méthode permettant de déverrouiller instantanément des millions de chambres d'hôtel dans le monde, exposant ainsi les failles de sécurité des serrures à carte-clé RFID de la marque Saflok, utilisées dans 131 pays. Cette technique, nommée Unsaflok, a été révélée par Ian Carroll, Lennert Wouters et d'autres chercheurs en sécurité. Elle exploite des vulnérabilités dans les serrures à carte-clé Saflok, largement répandues avec environ 3 millions d'installations dans 13 000 propriétés.En utilisant des dispositifs RFID accessibles pour environ 300 dollars, les pirates peuvent lire et recréer les données d'une carte magnétique d'hôtel, permettant ainsi l'ouverture des serrures en quelques secondes. Bien que la solution ait été partagée avec Dormakaba, le fabricant des serrures, en novembre 2022, la correction complète est encore en cours, avec seulement 36 % des serrures mises à jour jusqu'à présent.
Des pirates informatiques ont trouvé le moyen d'ouvrir en quelques secondes n'importe laquelle des 3 millions de serrures à carte magnétique d'un hôtel
La société qui fabrique les serrures de porte de la marque Saflok propose une solution, mais il faudra peut-être des mois, voire des années, avant qu'elle ne soit disponible dans certains hôtels.
Lorsque des milliers de chercheurs en sécurité se rendent à Las Vegas chaque année au mois d'août pour ce que l'on appelle le « camp d'été des pirates informatiques », les conférences Black Hat et Defcon, il est évident que certains d'entre eux tenteront de pirater l'infrastructure même de Las Vegas, c'est-à-dire l'ensemble complexe de technologies des casinos et des hôtels de la ville. Mais lors d'un événement privé organisé en 2022, un groupe de chercheurs triés sur le volet a été invité à pirater une chambre d'hôtel de Las Vegas. Dans une suite bondée d'ordinateurs portables et de canettes de Red Bull, ils se sont affrontés pour trouver des failles numériques dans chacun des gadgets de la chambre, de la télévision au téléphone VoIP de chevet.
Technique de piratage menace la sécurité des hôtels dans le monde
Une équipe de hackers a passé ces journées à se concentrer sur la serrure de la porte de la chambre, peut-être l'élément technologique le plus sensible. Aujourd'hui, plus d'un an et demi plus tard, ils dévoilent enfin les résultats de ce travail : une technique qu'ils ont découverte et qui permettrait à un intrus d'ouvrir n'importe laquelle des millions de chambres d'hôtel dans le monde en quelques secondes, en tapant seulement deux fois.
Aujourd'hui, Ian Carroll, Lennert Wouters et une équipe d'autres chercheurs en sécurité révèlent une technique de piratage de cartes-clés d'hôtel qu'ils appellent Unsaflok. Il s'agit d'un ensemble de failles de sécurité qui permettraient à un pirate d'ouvrir presque instantanément plusieurs modèles de serrures à carte clé de marque Saflok, basées sur la technologie RFID et vendues par le fabricant suisse de serrures Dormakaba. Les systèmes Saflok sont installés sur 3 millions de portes dans le monde, à l'intérieur de 13 000 propriétés dans 131 pays.
En exploitant les faiblesses du système de chiffrement de Dormakaba et du système RFID sous-jacent utilisé par Dormakaba, connu sous le nom de MIFARE Classic, Carroll et Wouters ont démontré à quel point il était facile d'ouvrir une serrure à carte-clé Saflok. Leur technique commence par l'obtention d'une carte magnétique d'un hôtel cible - par exemple, en réservant une chambre ou en prenant une carte magnétique dans une boîte de cartes usagées - puis par la lecture d'un certain code de cette carte à l'aide d'un dispositif de lecture-écriture RFID de 300 dollars, et enfin par l'écriture de deux cartes magnétiques de leur cru. Lorsqu'ils appuient simplement ces deux cartes sur une serrure, la première réécrit une partie des données de la serrure, et la seconde l'ouvre.
« Deux coups rapides et nous ouvrons la porte, explique Wouters, chercheur au sein du groupe de sécurité informatique et de cryptographie industrielle de l'université KU Leuven, en Belgique. Et cela fonctionne pour toutes les portes de l'hôtel.» Wouters et Carroll, chercheur indépendant en sécurité et fondateur du site web de voyage Seats.aero, ont partagé tous les détails techniques de leur technique de piratage avec Dormakaba en novembre 2022. Dormakaba indique qu'elle travaille depuis le début de l'année dernière à sensibiliser les hôtels qui utilisent Saflok à leurs failles de sécurité et à les aider à réparer ou à remplacer les serrures vulnérables. Pour de nombreux systèmes Saflok vendus au cours des huit dernières années, il n'est pas nécessaire de remplacer le matériel de chaque serrure.
Les hôtels n'ont qu'à mettre à jour ou remplacer le système de gestion de la réception et à demander à un technicien d'effectuer une reprogrammation relativement rapide de chaque serrure, porte par porte. Wouters et Carroll affirment que Dormakaba leur a néanmoins indiqué qu'en date de ce mois-ci, seuls 36 % des Safloks installés avaient été mis à jour. Étant donné que les serrures ne sont pas connectées à l'internet et que certaines serrures plus anciennes auront encore besoin d'une mise à jour matérielle, ils affirment que le déploiement de la correction complète prendra probablement encore des mois, au minimum. Certaines installations plus anciennes pourraient même prendre des années.
« Nous avons travaillé en étroite collaboration avec nos partenaires pour identifier et mettre en œuvre une solution d'atténuation immédiate de cette vulnérabilité, ainsi qu'une solution à plus long terme », a écrit Dormakaba à WIRED dans une déclaration, tout en refusant de détailler ce que pourrait être cette « solution d'atténuation immédiate ». «Nos clients et nos partenaires prennent tous la sécurité très au sérieux, et nous sommes convaincus que toutes les mesures raisonnables seront prises pour résoudre ce problème de manière responsable.
La technique de piratage des serrures dormakaba decouverte par Wouters et Carroll
La technique de piratage des serrures de Dormakaba découverte par le groupe de recherche de Wouters et Carroll implique deux types distincts de vulnérabilités : L'une leur permet d'écrire sur les cartes-clés et l'autre de savoir quelles données écrire sur les cartes pour réussir à ouvrir une serrure Saflok. Lorsqu'ils ont analysé les cartes-clés Saflok, ils ont constaté qu'elles utilisaient le système RFID MIFARE Classic, dont on sait depuis plus de dix ans qu'il présente des vulnérabilités qui permettent aux pirates d'écrire sur les cartes-clés, bien que le processus de force brute puisse prendre jusqu'à 20 secondes.
Les chercheurs ont ensuite piraté une partie du système de chiffrement de Dormakaba, la fonction dite de dérivation de clé, ce qui leur a permis d'écrire sur les cartes beaucoup plus rapidement. Grâce à l'une ou l'autre de ces astuces, les chercheurs ont pu copier une carte clé Saflok à volonté, sans toutefois pouvoir en générer une pour une autre pièce.
L'étape la plus cruciale pour les chercheurs a consisté à obtenir l'un des dispositifs de programmation de serrures que Dormakaba distribue aux hôtels, ainsi qu'une copie de son logiciel de gestion des cartes-clés pour la réception. En procédant à une rétro-ingénierie de ce logiciel, ils ont pu comprendre toutes les données stockées sur les cartes, en extrayant le code de la propriété de l'hôtel ainsi que le code de chaque chambre, puis ils ont créé leurs propres valeurs et les ont chiffrées comme le ferait le système de Dormakaba, ce qui leur a permis d'usurper un passe-partout fonctionnel qui ouvre n'importe quelle chambre de la propriété. « Vous pouvez créer une carte qui semble vraiment avoir été créée par le logiciel de Dormakaba, essentiellement », explique Wouters.
Comment Carroll et Wouters ont-ils obtenu le logiciel de réception de Dormakaba ? « Nous avons gentiment demandé à quelques personnes », explique Wouters. « Les fabricants partent du principe que personne ne vendra leur équipement sur eBay et que personne ne fera une copie de leur logiciel, et je pense que tout le monde sait que ces hypothèses ne sont pas vraiment valables. » Une fois qu'ils ont réussi tout ce travail de rétro-ingénierie, la version finale de leur attaque a pu être réalisée avec à peine plus qu'un appareil de lecture-écriture RFID Proxmark à 300 dollars et quelques cartes RFID vierges, un téléphone Android ou un outil de piratage radio Flipper Zero.
Le principal inconvénient de la technique Unsaflok des pirates est qu'elle nécessite toujours qu'ils disposent d'une carte-clé - même périmée - pour une chambre située quelque part dans le même hôtel que la chambre qu'ils ciblent. En effet, chaque carte possède un code spécifique à l'établissement qu'ils doivent lire et reproduire sur leur carte usurpée, ainsi qu'un code spécifique à la chambre.
Une fois qu'ils ont le code de la propriété, la technique nécessite également l'utilisation d'un dispositif de lecture-écriture RFID pour écrire deux cartes - une carte qui reprogramme une serrure cible ainsi que la seconde carte usurpée qui la déverrouille. (Un téléphone Android ou un Flipper Zero pourrait également être utilisé pour émettre un signal après l'autre au lieu des deux cartes, précisent les chercheurs). Les chercheurs laissent entendre que la première carte leur permet d'ouvrir une chambre cible sans deviner son identifiant unique dans le système de l'hôtel, mais refusent de dire exactement ce que fait cette première carte. Ils gardent cet élément de la technique confidentiel afin d'éviter de donner des instructions trop claires aux intrus ou aux voleurs potentiels.
En revanche, un chercheur en sécurité a présenté, lors de la conférence Black Hat de 2012, un piratage similaire de cartes-clés d'hôtel permettant d'ouvrir des serrures vendues par la société Onity, sans aucune dissimulation, et permettant à n'importe quel pirate de construire un dispositif permettant d'ouvrir n'importe laquelle des 10 millions de serrures vendues par Onity dans le monde entier. Lorsque Onity a refusé de payer les mises à jour matérielles nécessaires pour résoudre le problème et a préféré en faire porter la responsabilité à ses clients, le problème n'a pas été corrigé dans de nombreux hôtels et a finalement été exploité par au moins un pirate informatique lors d'un cambriolage à travers tout le pays.
Carroll et Wouters disent qu'ils essaient d'éviter ce scénario en adoptant une approche plus prudente, tout en continuant à avertir le public de leur technique, étant donné que des centaines d'établissements resteront probablement vulnérables, même maintenant que Dormakaba a proposé son correctif. « Nous essayons de trouver un juste milieu en aidant Dormakaba à résoudre rapidement le problème, tout en informant les clients », explique Carroll. « Si quelqu'un d'autre fait de l'ingénierie inverse aujourd'hui et commence à l'exploiter avant que les gens ne soient au courant, cela pourrait être un problème encore plus grave. »
À cette fin, Carroll et Wouters soulignent que les clients des hôtels peuvent reconnaître les serrures vulnérables le plus souvent, mais pas toujours, grâce à leur design particulier : un lecteur RFID rond traversé par une ligne ondulée. Ils suggèrent que si les clients de l'hôtel ont un Saflok sur leur porte, ils peuvent déterminer s'il a été mis à jour en vérifiant leur carte clé avec l'application NFC Taginfo de NXP, disponible pour iOS ou Android. Si la serrure est fabriquée par Dormakaba et que l'application montre que la carte clé est toujours une carte MIFARE Classic, il est probable qu'elle soit toujours vulnérable.
Dans ce cas, selon les deux chercheurs, il n'y a pas grand-chose à faire, si ce n'est éviter de laisser des objets de valeur dans la chambre et, lorsque vous êtes à l'intérieur, verrouiller la chaîne de la porte. Ils avertissent que le pêne dormant de la chambre est également contrôlé par la serrure à carte magnétique, et qu'il ne constitue donc pas une protection supplémentaire. « Si quelqu'un verrouille le pêne dormant, il n'est toujours pas protégé », précise Carroll.
Même en l'absence d'une solution parfaite ou entièrement mise en œuvre, Wouters et Carroll estiment qu'il vaut mieux que les clients des hôtels connaissent les risques plutôt que d'avoir un faux sentiment de sécurité. Après tout, soulignent-ils, la marque Saflok est vendue depuis plus de trente ans, et il est possible qu'elle ait été vulnérable pendant une grande partie ou la totalité de ces années. Bien que Dormakaba affirme ne pas avoir connaissance d'une utilisation antérieure de la technique de Wouters et Carroll, les chercheurs soulignent que cela ne signifie pas que cela ne s'est jamais produit en secret.
Source : Unsaflok
Et vous ?
Quel est votre avis sur le sujet ?Voir aussi :
Top huit des prédictions en matière de cybersécurité pour 2024 : la GenAI va combler le déficit de compétences, en supprimant la nécessité d'une formation spécialisée, d'après Gartner 74 % des cyberattaques sont causées par des facteurs humains, notamment des erreurs, le vol d'informations d'identification, l'utilisation abusive de privilèges d'accès ou l'ingénierie sociale 
