Tomi Tuominen et Timo Hirvonen, deux experts finlandais en cybersécurité de l’entreprise F-Secure, ont trouvé une méthode pour ouvrir les serrures de génération précédente de Vingcard, le fournisseur de référence de l’hôtellerie dans le monde entier.
Ces serrures sont toujours utilisées dans 140 000 hôtels dans le monde, dans 160 pays, pour un total de plusieurs millions de chambres.
Il y a un an, les deux chercheurs ont informé en toute confidentialité Assa Abloy, la maison mère de Vingcard, de leur découverte. Cette dernière a développé et publié un correctif de sécurité pour les serrures électronique. Toutefois, il doit être installé manuellement par un technicien sur chaque serrure, une à une…
Les deux chercheurs vont présenter leur découverte vendredi, sans toutefois donner tous les détails, afin de ne pas faciliter le travail des voleurs, au cours d’une session de la conférence de cybersécurité Infiltrate, que se tient du 26 au 27 avril 2018 à Miami.
Il faut un lecteur enregistreur de cartes RFID à 300 dollars, une carte d’hôtel périmée récupérée dans une poubelle, et des méthodes développées de temps à autre ces quinze dernières années, pour réduire le code passe-partout à une vingtaine de possibilités.
Ces dernières sont testées en moins d’une minute sur une serrure. Le passe-partout est alors enregistré et la carte peut ouvrir toutes les serrures électroniques d’un hôtel.
Les chercheurs se sont intéressés au sujet il y a quinze ans, quand l’un de leurs amis s’est fait voler son ordinateur portable dans la chambre d’un hôtel de luxe, sans que ses employés ne parviennent à une quelconque conclusion, le journal électronique de la serrure ne montrant aucune trace d’entrée ou de sortie, et la porte n’ayant pas été forcée.