Une équipe de chercheurs a découvert une série de vulnérabilités, collectivement appelées “Unsaflok”, qui pourraient compromettre la sécurité de millions de portes de chambres d'hôtel dans le monde.

Mauvaise nouvelle pour les clients de milliers d’hôtels à travers le monde, des failles de sécurité nouvellement découvertes affectent les serrures électroniques RFID Saflok utilisée dans de nombreuses portes. D’après les chercheurs, en exploitant ces vulnérabilités, il est possible de falsifier des cartes clés pour déverrouiller n'importe quelle porte d'un hôtel utilisant le système Saflok.

Les conséquences de cette découverte sont considérables : près de 3 millions de portes dans 13 000 établissements répartis dans 131 pays sont menacées. Les vulnérabilités existent depuis plus de 36 ans, ce qui suscite des inquiétudes quant à d'éventuels passages à l'acte non détectés dans le passé. Les chercheurs ont souligné que, bien qu'il n'y ait aucun cas connu d'utilisation malveillante de ces vulnérabilités, cette possibilité ne peut être exclue.

Lire également – Ce site a bien failli offrir des vols et hôtels de luxe gratuits à vie aux pirates

Une faille de sécurité majeure touche des millions de portes d’hôtels

La méthode d'attaque consiste à créer une paire de cartes clés falsifiées, ce qui peut être fait avec des outils facilement disponibles et des cartes MIFARE Classic. La première carte est utilisée pour réécrire les données de la serrure et la seconde pour ouvrir la porte. Ce processus, qui coûterait moins de quelques centaines de dollars en équipement, permettrait de contourner les mécanismes de sécurité de la serrure.

Dormakaba, le fabricant des serrures Saflok, a été informé des résultats de l'enquête en novembre 2022 et travaille depuis lors à l'élaboration de mesures d'atténuation. L'entreprise a commencé à remplacer et à mettre à niveau les serrures concernées en novembre 2023, mais aujourd’hui, une grande partie des serrures restaient vulnérables.

L'équipe d'Unsaflok, qui a fait la découverte, s'est abstenue de divulguer des détails techniques pour laisser le temps de mettre à jour le système. En attendant, le personnel de l'hôtel peut surveiller les registres d'entrée et de sortie pour détecter des signes de piratage, bien que cette méthode ne soit pas infaillible pour détecter un accès non autorisé. De leur côté, les clients soucieux de la sécurité de leur chambre d'hôtel peuvent utiliser l'application NFC Taginfo pour vérifier le type de carte utilisé par la serrure de leur chambre. S’il s’agit d’une carte MIFARE Classic, votre porte est probablement vulnérable.