Une « Master-Key » qui dévérouille des millions de chambres d’hôtel

Si vous laissez souvent vos objets précieux et coûteux comme un ordinateur portable et des passeports dans les chambres d’hôtel, alors méfiez-vous. Votre salle peut être déverrouillée non seulement par un personnel malveillant ayant accès à la clé principale, mais aussi par un étranger.
Une vulnérabilité de conception critique dans un système de verrouillage électronique populaire et largement utilisé peut être exploitée pour déverrouiller toutes les pièces fermées d’une installation, laissant des millions de chambres d’hôtel à travers le monde vulnérables aux pirates informatiques.

La vulnérabilité a été découverte dans le système de verrouillage Vision by VingCard, fabriqué par le plus grand fabricant de serrures au monde, Assa Abloy, et déployé dans plus de 42 000 installations dans 166 pays différents, ce qui équivaut à des millions de portes.
Après des milliers d’heures de travail, les chercheurs de F-Secure Tomi Tuominen et Timo Hirvonen ont réussi à construire une clé maîtresse qui pourrait être utilisée pour déverrouiller les portes et entrer dans n’importe quelle chambre d’hôtel en utilisant la technologie de verrou numérique Vision by VingCard sur le système.

Lire aussi :
La sécurité des emails (courrier électronique): il est temps de s'en préoccuper

 

Comment les hackers ont construisent-ils une «clé maîtresse» ?

Pour créer une clé maîtresse permettant d’accéder à une pièce sécurisée par le système Vision, il faut d’abord se procurer une carte-clé électronique: toute carte-clé électronique ancienne ou expirée de n’importe quelle chambre de l’hôtel cible fera l’affaire.

Pour obtenir la clé électronique (RFID ou bande magnétique), un attaquant peut lire les données à distance en se tenant près d’un invité ou d’un employé disposant d’une carte dans sa poche ou simplement réserver une chambre et utiliser cette carte comme source.

L’attaquant aurait alors besoin d’acheter un programmeur portable pour quelques centaines de dollars en ligne pour écraser la carte, et donc créer une clé principale en quelques minutes.

Lire aussi :
Un nouveau malware Android enregistre secrètement des appels téléphoniques et vole des données privées

F-Secure dit utiliser son logiciel personnalisé qui a rendu possible ce piratage particulier, et pour une raison évidente, les chercheurs ne le publieront pas.

Lire aussi: Comment pirater un réseau Wi-Fi et comment s’en protéger

Le dispositif sur mesure (en fait un lecteur / enregistreur RFID) est alors maintenu à proximité du verrou cible, qui essaie différentes clés en moins d’une minute et localise la clé principale et déverrouille la porte.

Vous pouvez maintenant utiliser ce périphérique personnalisé comme clé principale pour ouvrir une porte dans l’installation ou réécrire la clé principale sur votre carte-clé. Une fois cela fait, vous pouvez maintenant accéder à n’importe quelle pièce de l’hôtel en utilisant la clé principale.

Lire aussi :
Qu'est-ce qu'une vulérabilité zero-day ou jour zéro?

 

« Vous pouvez imaginer ce qu’une personne malveillante pourrait faire avec le pouvoir d’entrer dans n’importe quelle chambre d’hôtel, avec une clé maîtresse créée fondamentalement à partir de rien, »

 

Voici une vidéo afin de mieux illustrer et vous faire comprendre cette vulnérabilité

 

Laisser un commentaire