Les hackers peuvent déverrouiller 3 millions de portes d'hôtel dans 131 pays

Des chercheurs en sécurité ont découvert des vulnérabilités dans la ligne de serrures électroniques RFID Saflok de Dormakaba, qui pourraient permettre à un attaquant d’accéder aux chambres d’hôtel et aux portes d’unités de logement multifamiliales en quelques secondes en utilisant une seule paire de cartes-clés falsifiées.

La série de vulnérabilités, surnommée “Unsaflok”, a été découverte par les chercheurs Lennert Wouters, Ian Carroll, rqu, BusesCanFly, Sam Curry, shell et Will Caruana en septembre 2022 et divulguée en mars 2024, comme l’a d’abord rapporté Wired.

Unsaflok affecte plus de 3 millions de portes sur plus de 13 000 propriétés dans 131 pays.

Toutes les serrures utilisant le système Saflok sont affectées, y compris (mais sans s’y limiter) la série de serrures Saflok – Saflok MT, la série Quantum, la série RT, la série Saffire et la série Confidant, qui sont utilisées en combinaison avec le logiciel de gestion System 6000, Ambiance et Community.

Dormakaba, le fabricant de cartes-clés et de serrures, a été informé et a déjà commencé à travailler sur un correctif.

Il a commencé à mettre à niveau les hôtels en novembre 2023. En mars 2024, environ 36 % des serrures affectées ont été mises à jour ou remplacées.

Cependant, les chercheurs affirment qu’il est impossible de dire visuellement si une serrure a été mise à jour pour corriger ces vulnérabilités.

“Mettre à niveau chaque hôtel est un processus intensif. Toutes les serrures nécessitent une mise à jour logicielle ou doivent être remplacées. De plus, toutes les cartes-clés doivent être réémises, le logiciel de la réception et les encodeurs de cartes doivent être mis à niveau, ainsi que les intégrations tierces,” expliquent les chercheurs.

“Un attaquant n’a besoin de lire qu’une seule carte-clé de la propriété pour effectuer l’attaque contre n’importe quelle porte de la propriété. Cette carte-clé peut provenir de sa propre chambre, ou même d’une carte-clé expirée prise dans la boîte de collecte de départ express,” ont écrit les chercheurs sur leur site web.

“Des cartes-clés falsifiées peuvent ensuite être créées en utilisant n’importe quelle carte MIFARE Classic et tout outil commercial capable d’écrire des données sur ces cartes. Une paire de cartes-clés falsifiées permet à un attaquant d’ouvrir n’importe quelle porte de la propriété.”

Cette attaque peut être effectuée par tout appareil capable de lire, d’écrire ou d’émuler des cartes MIFARE Classic, y compris Proxmark3 et Flipper Zero et un smartphone Android compatible NFC.

Actuellement, les chercheurs n’ont divulgué que des informations limitées sur la vulnérabilité Unsaflok en raison de son impact potentiel sur les hôtels et les clients.

Ils ont l’intention de partager des détails techniques supplémentaires sur la vulnérabilité à l’avenir, car ils souhaitent donner à de nombreuses propriétés suffisamment de temps pour mettre à niveau leurs systèmes.

Dormakaba a commencé à vendre des serrures Saflok en 1988, ce qui signifie qu’elles sont disponibles commercialement depuis plus de 36 ans. Les chercheurs affirment qu’ils ne sont pas au courant d’attaques dans le monde réel exploitant cette vulnérabilité.

“Le 21 mars 2024, dormakaba a publié des informations concernant une vulnérabilité de sécurité associée à l’algorithme de dérivation de clé utilisé pour générer des clés MIFARE Classic® et à l’algorithme de cryptage secondaire utilisé pour sécuriser les données de carte sous-jacentes. Cette vulnérabilité affecte les systèmes Saflok (System 6000™, Ambiance™, et Community™),” a déclaré Dormakaba dans un communiqué à BleepingComputer.

“Dès que nous avons été informés de la vulnérabilité par un groupe de chercheurs en sécurité externes, nous avons lancé une enquête complète, priorisé le développement et le déploiement d’une solution d’atténuation, et travaillé à communiquer systématiquement avec les clients. Nous ne sommes pas au courant d’instances signalées de cette question ayant été exploitées à ce jour.

“Conformément aux principes de divulgation responsable, nous collaborons avec les chercheurs pour fournir une alerte plus large afin de mettre en évidence comment les risques existants liés à la technologie RFID héritée évoluent, afin que d’autres puissent prendre des mesures de précaution.”