Las Vegas, Black Hat & Defcon : terrain de jeu pour hackers et failles de sécurité
Chaque année, les experts en cybersécurité se réunissent à Las Vegas pour deux conférences majeures : Black Hat et Defcon. L’occasion pour eux de tester la sécurité des installations locales, et en 2022, une découverte inquiétante a été faite : une faille de sécurité majeure dans les serrures électroniques Saflok, utilisées par des millions d’hôtels à travers le monde.
Plus de 3 millions de serrures vulnérables dans 131 pays
Baptisée « Unsaflok » par les chercheurs, cette faille touche plus de 3 millions de serrures Saflok, présentes dans plus de 13 000 établissements répartis dans 131 pays. La technique de piratage est simple mais redoutable : une carte spécialement conçue reprogramme la serrure, et une seconde la déverrouille, même si le verrou manuel est activé.
Piratage des serrures : mode opératoire et implications
Pour exploiter cette faille, les hackers doivent d’abord obtenir une carte existante, même expirée. Ensuite, à l’aide d’un boîtier d’encodage habituellement réservé aux hôtels, ils peuvent recréer le logiciel et extraire l’identifiant propre à l’établissement. Deux cartes sont ensuite créées avec un boîtier RFID Proxmark, permettant d’ouvrir toutes les portes de l’hôtel.
Alerte et correctif : un processus long et incomplet
Informé de la faille en septembre 2022, le constructeur Dormakaba a déployé une mise à jour en novembre 2023. Cependant, le processus de correction est long et fastidieux : chaque serrure doit être mise à jour ou changée, le logiciel et l’encodeur de cartes de la réception doivent être mis à jour, et toutes les cartes doivent être refaites. A ce jour, seulement 36% des serrures ont été corrigées, ce qui incite les chercheurs à différer la publication des détails de la faille.
Conséquences et recommandations pour les voyageurs
La faille Unsaflok expose les voyageurs à un risque accru de vol et d’intrusion. En attendant une correction complète, voici quelques recommandations :
- Choisissez des hôtels ayant confirmé la mise à jour de leurs serrures Saflok.
- Privilégiez les chambres situées aux étages supérieurs.
- Utilisez le verrou de sécurité en plus de la carte.
- Restez vigilant et signalez tout comportement suspect à la réception.
Un problème de sécurité majeur qui exige une action urgente
La faille Unsaflok souligne la nécessité pour les fabricants de serrures et les hôteliers de prendre la cybersécurité au sérieux. Des mesures doivent être prises rapidement pour corriger cette faille et protéger les millions de voyageurs qui utilisent ces serrures chaque jour.
Sources :
