RMC

Des hackers trouvent une faille permettant d'entrer dans n'importe quelle chambre d’hôtel

Les serrures électroniques d'un des plus grands fournisseurs dans le monde présentent une faille de sécurité majeure décelée et révélée par des chercheurs. Des millions de chambres d'hôtel pourraient être concernées.

Voilà quelque chose qui serait très pratique pour réduire ses frais de vacances, mais qui inquiète tout de même les groupes hôteliers. Des chercheurs en sécurité ont trouvé une faille pour s'introduire librement dans des millions de chambres d'hôtel. En effet, la quasi-majorité des hôtels sont passées des serrures classiques aux serrures électroniques à carte ces dernières années.

Tout a commencé quand un ami de ces chercheurs se fait voler son ordinateur dans sa chambre à Berlin lors d'un voyage. Comme il n'y avait aucune marque d'effraction, il met en doute la sécurité des serrures électroniques et se demande s'il n'y a pas un problème avec elles.

140 000 établissements concernés à travers le monde ?

Tomi Tuominen et Timo Hirvonen, ces deux chercheurs en sécurité de F-Secure, ont ensuite décidé de collectionner les cartes d'hôtel pour les analyser. Après en avoir étudié des centaines et des centaines, ils ont découvert que le système de sécurité d'un des principaux fournisseurs de serrures électroniques contenaient une faille. Un fournisseur qui équipe plus de 140 000 établissement à travers le monde !

Sans dire exactement comment il faut faire, n'étant pas des hackers mais des chercheurs en sécurité, ils sont parvenus, en récupérant de vieilles cartes désactivées, à récréer une clé maître. C'est à dire une clé qui ouvre n'importe quelle chambre ou n'importe quel local technique.

Un correctif logiciel a été mis au point suite à la révélation de cette affaire. Le problème est que ces serrures ne sont pas connectées,c'est à dire qu'il faut mettre à jour chaque porte individuellement par un technicien ! Un travail titanesque, si ce fournisseur prend la peine de toutes les réparer.

Raphaël Grably (avec J.A.)