Dans les hôtels, la norme depuis de nombreuses années est de passer par une carte d'accès RFID pour ouvrir les portes des chambres. Et des chercheurs viennent de montrer que le système Saflok de la firme Dormakaba est vulnérable : une attaque permet d'ouvrir les portes de nombreux hôtels avec un simple Flipper Zero.

Un article de nos confrères de Wired explique le problème avec quelques détails. Premièrement, si Saflok est employé dans plus de 13 000 hôtels dans 131 pays (soit plus de 3 millions de portes), tous les hôtels ne sont pas touchés. En effet, les chercheurs ont prévenu la société en novembre 2022 et une mise à jour existe. Le problème, c'est qu'elle n'est déployée selon nos confrères que sur 26 % des serrures. Deuxièmement, le hack nécessite une carte de l'hôtel, ce qui n'est pas réellement un problème, avouons-le. Le matériel nécessaire, outre les cartes vierges nécessaires (il en faut deux), va donc être un Flipper Zero. Ce petit appareil vendu environ 250 € permet de lire et écrire des puces RFID (ici en technologie MIFARE Classic). Il en existe d'autres et certains smartphones Android peuvent même faire l'affaire.

La faille Unsaflok repose d'abord sur une chose : la technologie MIFARE Classic est ancienne et connue pour ses soucis de sécurité. Ensuite, les chercheurs ont réussi à obtenir le matériel nécessaire pour programmer une carte, ce qui a permis d'analyser le fonctionnement. Sans donner les détails exacts, ils expliquent qu'une carte de l'hôtel est nécessaire pour récupérer des codes qui dépendent de l'établissement. L'absence de mise à jour ne vient pas nécessairement d'une absence de prise en compte du problème par les gérants des hôtels : les serrures ne sont pas forcément connectées et la mise à jour peut dans certains cas (outre un accès physique) nécessiter une modification matérielle.

Il faut vous méfier

Les chercheurs conseillent donc de se méfier des serrures des hôtels. Il est possible de vérifier si la serrure est vulnérable avec NFC TagInfo et un iPhone compatible avec le NFC : si le fabricant est Dormakaba et la carte en technologie MIFARE Classic, elle est probablement vulnérable. Si c'est le cas, ils proposent d'essayer de fermer la porte avec un verrou physique quand il existe.

Tout ceci est l'occasion de rappeler qu'Apple propose sa fonction Clés de maison pour les hôtels, et qu'elle repose sur des technologies un peu plus solides que du MIFARE Classic (enfin, nous l'espérons).