Ouvrir le menu principal

MacGeneration

Recherche

Des millions de chambres d'hôtel accessibles à cause d'une grosse faille de sécurité

Pierre Dandumont

Monday 25 March 2024 à 16:13 • 34

Matériel

Dans les hôtels, la norme depuis de nombreuses années est de passer par une carte d'accès RFID pour ouvrir les portes des chambres. Et des chercheurs viennent de montrer que le système Saflok de la firme Dormakaba est vulnérable : une attaque permet d'ouvrir les portes de nombreux hôtels avec un simple Flipper Zero.

Une porte protégée par Saflok (image Dormakaba)

Un article de nos confrères de Wired explique le problème avec quelques détails. Premièrement, si Saflok est employé dans plus de 13 000 hôtels dans 131 pays (soit plus de 3 millions de portes), tous les hôtels ne sont pas touchés. En effet, les chercheurs ont prévenu la société en novembre 2022 et une mise à jour existe. Le problème, c'est qu'elle n'est déployée selon nos confrères que sur 26 % des serrures. Deuxièmement, le hack nécessite une carte de l'hôtel, ce qui n'est pas réellement un problème, avouons-le. Le matériel nécessaire, outre les cartes vierges nécessaires (il en faut deux), va donc être un Flipper Zero. Ce petit appareil vendu environ 250 € permet de lire et écrire des puces RFID (ici en technologie MIFARE Classic). Il en existe d'autres et certains smartphones Android peuvent même faire l'affaire.

La faille en action.

La faille Unsaflok repose d'abord sur une chose : la technologie MIFARE Classic est ancienne et connue pour ses soucis de sécurité. Ensuite, les chercheurs ont réussi à obtenir le matériel nécessaire pour programmer une carte, ce qui a permis d'analyser le fonctionnement. Sans donner les détails exacts, ils expliquent qu'une carte de l'hôtel est nécessaire pour récupérer des codes qui dépendent de l'établissement. L'absence de mise à jour ne vient pas nécessairement d'une absence de prise en compte du problème par les gérants des hôtels : les serrures ne sont pas forcément connectées et la mise à jour peut dans certains cas (outre un accès physique) nécessiter une modification matérielle.

Il faut vous méfier

Les chercheurs conseillent donc de se méfier des serrures des hôtels. Il est possible de vérifier si la serrure est vulnérable avec NFC TagInfo et un iPhone compatible avec le NFC : si le fabricant est Dormakaba et la carte en technologie MIFARE Classic, elle est probablement vulnérable. Si c'est le cas, ils proposent d'essayer de fermer la porte avec un verrou physique quand il existe.

L'iPhone peut remplacer les cartes.

Tout ceci est l'occasion de rappeler qu'Apple propose sa fonction Clés de maison pour les hôtels, et qu'elle repose sur des technologies un peu plus solides que du MIFARE Classic (enfin, nous l'espérons).

La fonction Clés de maison s

La fonction Clés de maison s'ouvre la porte des hôtels Hyatt

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

iPhone 16 : une pile pour remplacer la batterie

18/09/2024 à 20:52


Inédit : LDLC offre 5 ans de garantie gratuite sur tous les MacBook et les PC portables 📍

18/09/2024 à 20:40


Apple Intelligence sera disponible en allemand, en portugais et en italien l’année prochaine

18/09/2024 à 17:30

• 32


Premiers tests des iPhone 16 et 16 Pro : un nouveau bouton qui divise

18/09/2024 à 16:53


Google : la justice de l’Union européenne annule une amende de 1,5 milliards

18/09/2024 à 15:30

• 15


TSMC : des puces A16 sont désormais produites en Arizona

18/09/2024 à 12:15

• 13


Promos sur les nouveaux chargeurs Ugreen pour iPhone et Mac

18/09/2024 à 11:00

• 7


watchOS 11 pourrait détecter les siestes de longue durée

18/09/2024 à 10:58


Apple ne proposait plus de mises à jour de XProtect avant macOS Sequoia, c’est corrigé 🆕

18/09/2024 à 09:29

• 19


Les nouveautés de macOS Sequoia à ne pas rater !

17/09/2024 à 23:59

• 21


iBoff augmente la RAM des Mac Intel à 64 Go, mais pas celle des Mac Apple Silicon

17/09/2024 à 23:00

• 23


macOS Sequoia 15.1 passe en bêta 4

17/09/2024 à 21:08

• 0


La suite iWork mise à jour avec des nouveautés spécifiques à macOS Sequoia et iOS 18

17/09/2024 à 18:10

• 14


Premiers retours sur l'Apple Watch Series 10 : une mini Ultra à défaut d’une mise à jour majeure

17/09/2024 à 16:07


DxO PhotoLab 8 perfectionne sa réduction du bruit

17/09/2024 à 15:17

• 16


Setapp Mobile : la boutique alternative d’apps iOS ouvre plus grand ses portes

17/09/2024 à 14:13