Des millions de chambres d'hôtel accessibles à cause d'une grosse faille de sécurité
Dans les hôtels, la norme depuis de nombreuses années est de passer par une carte d'accès RFID pour ouvrir les portes des chambres. Et des chercheurs viennent de montrer que le système Saflok de la firme Dormakaba est vulnérable : une attaque permet d'ouvrir les portes de nombreux hôtels avec un simple Flipper Zero.
Un article de nos confrères de Wired explique le problème avec quelques détails. Premièrement, si Saflok est employé dans plus de 13 000 hôtels dans 131 pays (soit plus de 3 millions de portes), tous les hôtels ne sont pas touchés. En effet, les chercheurs ont prévenu la société en novembre 2022 et une mise à jour existe. Le problème, c'est qu'elle n'est déployée selon nos confrères que sur 26 % des serrures. Deuxièmement, le hack nécessite une carte de l'hôtel, ce qui n'est pas réellement un problème, avouons-le. Le matériel nécessaire, outre les cartes vierges nécessaires (il en faut deux), va donc être un Flipper Zero. Ce petit appareil vendu environ 250 € permet de lire et écrire des puces RFID (ici en technologie MIFARE Classic). Il en existe d'autres et certains smartphones Android peuvent même faire l'affaire.
La faille Unsaflok repose d'abord sur une chose : la technologie MIFARE Classic est ancienne et connue pour ses soucis de sécurité. Ensuite, les chercheurs ont réussi à obtenir le matériel nécessaire pour programmer une carte, ce qui a permis d'analyser le fonctionnement. Sans donner les détails exacts, ils expliquent qu'une carte de l'hôtel est nécessaire pour récupérer des codes qui dépendent de l'établissement. L'absence de mise à jour ne vient pas nécessairement d'une absence de prise en compte du problème par les gérants des hôtels : les serrures ne sont pas forcément connectées et la mise à jour peut dans certains cas (outre un accès physique) nécessiter une modification matérielle.
Il faut vous méfier
Les chercheurs conseillent donc de se méfier des serrures des hôtels. Il est possible de vérifier si la serrure est vulnérable avec NFC TagInfo et un iPhone compatible avec le NFC : si le fabricant est Dormakaba et la carte en technologie MIFARE Classic, elle est probablement vulnérable. Si c'est le cas, ils proposent d'essayer de fermer la porte avec un verrou physique quand il existe.
Tout ceci est l'occasion de rappeler qu'Apple propose sa fonction Clés de maison pour les hôtels, et qu'elle repose sur des technologies un peu plus solides que du MIFARE Classic (enfin, nous l'espérons).
La fonction Clés de maison s'ouvre la porte des hôtels Hyatt
C’est top !
Macg nous donne même le lien pour commander le device… et aller ouvrir toutes les chambres d’hôtel qu’on veut.Merci MacG !
(C’est au 2e degré hein… je précise des fois que…)
@ bozzo
C'est réservé aux seuls abonnés qui écoutent les podcast du début à la fin sans zapper
@bozzo
Le device n’est pas suffisant : encore faut-il savoir le programmer et ni l’article ni les chercheurs concernés ne donnent le détail de la procédure. Bon courage, donc.
Le flipper zéro sert surtout à faire de la recherche en sécurité et il est en vente libre.
@bozzo
J’ai pensé pareil
Le petit tuto pour se faire héberger à l’œil !
Ça va enfin permettre à certaines personnes de prendre conscience d’arrêter d’utiliser des appareils connectés à tout va, qui se révèlent être de vraies passoires plus qu’une aide quotidienne. Le jour où des intrus rentreront chez vous avec un simple jailbreak de porte RFID, et éteindront votre congélateur connecté afin d’envoyer toute la famille à l’hôpital, vous ferez moins les malins. Fuyez tout ce qui est connecté, rien de mieux que les bonnes vielles recettes !
@jaymac
Votre exemple est bizarre quand même 🤔 vous avez des gens qui vous veulent du mal ? 😈
@R-APPLE-R
Absolument personne, mais je me désole de voir que la sécurité est un argument complètement fallacieux dès qu’il s’agit d’un appareil connecté. Ça n’apporte quasiment rien à l’utilisateur, en revanche ça gave de data la marque qui est ravie de récupérer tout ça. Et croyez moi, je bosse dans la pointe de la tech, donc je sais très bien de quoi je parle.
@jaymac
+1
@jaymac
Aaaaah, l’apocalypse, ce doux rêve de certains… 🙄
@jaymac
Sentiment de persécution ?
@jaymac
ils n'ont qu'à faire une copie de vos clés puis comme ça ils font ce qu'ils veulent
ils peuvent aussi crocheter la serrure
@raoolito
Il faut déjà avoir accès aux clefs hein alors qu’une serrure connectée peut probablement être piratée sans un accès « physique » 😉…
@Gromeul
tout est dans le "probablement"
du coup la clef physique peut probablement être copiée facilement
@raoolito
Oui mais il faut l’avoir en main !
Bon ! Voyons voir, des photos de clefs … ah oué !
@jaymac
Pourquoi se faire chier à pirater un congélateur connecté alors qu’il suffit de couper le secteur ?
Pirater son frigo pour une sauvegarde hyper-compressée d’iPhone ?
@DG33
Parce que tu peux le faire à distance et sans entrer dans le domicile, évidemment.
@jaymac
Alors yaka pirater le réseau Engie 🤣
@jaymac
Dans ce cas ci, les serrures ne sont pas connectées. C’est bien le problème. Si elles avaient été connectées, la mise à jour aurait été plus rapide. Ce système à base de carte magnétique date des années 90, le millénaire passe. Internet n’existait pas…
Comme vous semblez souhaiter critiquer le monde moderne, je suggère que vous critiquiez plutôt l’électronique en général (ça sera pertinent pour ce cas) et recommandiez le retour au clés en métal inventées au moyen-age.
Sans compter l’allumage à distance des lumières afin de rendre aveugle toute la famille pendant le le chien aura devore le bebe a cause des ondes pirates generees par le wifi de la box.
@Encoreplusgrincheux
non il eteint les boxes la nuit vous ne suivez pas les autres articles ?
@Encoreplusgrincheux
🥳👍
@Encoreplusgrincheux
Ça c’est plus réaliste que le coup du congélateur.
Tu serais capable de développer le concept sur 1h30 pour faire un film à proposer à TF1 ? Ou alors une série en 6 épisodes pour Apple TV. C’est trop intellectuel pour Netflix comme concept.
;-)
@gwen
Pourquoi pas. Quand on voit les daubes qu’ils passent… ;-)
> « l'occasion de rappeler qu'Apple propose sa fonction Clés de maison pour les hôtels, et qu'elle repose sur des technologies un peu plus solides que du MIFARE Classic (enfin, nous l'espérons) »
L’an dernier, l’hôtel qui m’héberge régulièrement au Danemark venait de refaire son infrastructure informatique. J’ai demandé à l’hôtelière — macophile hardcore depuis que je la connais — si elle avait prévu d’adopter la technologie portière d’Apple et, au cas où, comment je me débrouillerais sans iPhone. Elle m’a invité dans son bureau, qui ne dépareillerait guère un musée dédié à la Pomme. Pointant du doigt des bornes Airport et le poster d’une LaserWriter, elle m’a demandé : « See these guys ? Dropped ice-cold. My hotel is my livelihood. You think I should trust Apple to keep it running ? Not on your life. »
Le nœud du problème.
Maintenant, où est Marthe Richard quand il s’agit de tenir fermées les chambres closes.
@occam
La même Marthe Richard qui a passé toute la guerre à louer des filles aux Allemands, les archives de la Préfecture de police de Paris sont formelles, Dans le genre mytho, elle a aussi prétendu avoir été une aviatrice de chasse pendant la guerre de 14.
@Sonic Tooth
Aviatrice de chasse ou avion de chasse…
(Sexisme inside 😱)
Pratique pour organiser des journées porte ouverte.
@DahuLArthropode
De loin le meilleur commentaire ;) bravo.
@DahuLArthropode
Manque plus qu’à pirater préalablement les caméras des hôtels + toquer à chaque chambre en annonçant « room service ».
Si l’occupant est sorti, vol possible sans effraction ni traces, et si l’occupant est présent « oups ce n’est pas pour vous le 🧻 ? désolé mon collègue a mal noté, bon séjour »…
1. NFC TagInfo sur iPhone ne lit pas le Mifare Classic
Il faut un appareil sous Android pour savoir si la puce de la carte est bien en Mifare Classic.
2. « les chercheurs ont réussi à obtenir le matériel nécessaire pour programmer une carte »
Avec le Flipper Zero, il y a moyen de lire le contenu de n'importe quelle carte Mifare Classic.
La faille des anciens firmwares des serrures SafeLock réside sans doute au niveau de l'encryptage des données ainsi lues avec le Flipper Zero. Avec le « code » de l'hôtel décrypté dans la lecture d'une seule carte, il y aurait moyen de simuler la carte de n'importe quelle chambre.
Conclusion : Avec les cartes Mifare Classic, on peut cloner ou simuler tout le contenu de la carte, mais pas forcément créer ou simuler la carte pour d'autres chambres. Le contenu de la carte lue change à chaque création de carte pour la même chambre, sur base d'un algorithme chiffré (incrémentation + date).
Plusieurs marques de serrures d'hôtel travaillent encore avec du Mifare Classic mais en renforçant la sécurité de l'encryptage.
PS : beaucoup de cartes de pompe à essence (et cartes bancaires) utilisent encore la piste magnétique : le problème de lecture et de clonage est identique à une grande différence près : la lecture nécessite la prise en main physique de la carte pour lire la piste. Ce qui n'est plus le cas pour des cartes RFID. Le matériel de lecture et d'écriture d'une piste magnétique est également plus onéreux.
@Bricolas
je viens de faire le test sur ma carte de piscine : l’androïde lit bien le Mifare Classic, l’iPhone ne voit rien. Je ne peux que confirmer.
Remarque : pour les pompes essences automatiques, pour la carte bleu, les caissiers croient qu’elles lisent la bande magnétique. Dans les faits, elles sont basées pour la plupart de celles que j’ai croisé sur la puce. J’en veux pour preuve un bug des pompes Total qui me demande de lire la bande magnétique (sans succès) alors qu’il faut que j’appuie à fond sur la carte pour que la puce soit bien lue.
Les mêmes lecteurs marchent par contre avec la bande magnétique pour les cartes pro ou de fidélité.
Je vais souvent dans le me hôtel dans la région de Paris. Je me suis amusé à démontrer au gérant que les systèmes de cartes rfid étaient des passoires. Il a halluciné qd il a vu qu’on pouvait modifier une carte de chambre avec un simple smartphone. C’est pas d’aujourd’hui donc.