(précaire est une chronique hebdomadaire qui aborde le sujet en pleine actualité de la cybersécurité.
Et si vous reveniez dans votre chambre d’hôtel et constatiez que votre ordinateur portable avait disparu? Et s’il n’y avait aucune trace d’intrus, aucune entrée forcée, aucune preuve que la pièce a été pénétrée? La société de sécurité F-Secure a été confrontée à cette question et sa réponse a été simple: découvrez comment pour rendre possible l'impossible. Découvrez comment être un fantôme.
F-Secure annoncé cette semaine qu'il avait découvert une vulnérabilité massive affectant des millions de serrures électroniques dans le monde. Cet exploit permettrait à quiconque d'entrer dans une chambre d'hôtel sans être détecté, sans laisser de trace. Nous avons rencontré les chercheurs qui ont découvert l'exploit, Timo Hirvonen et Tomi Tuominen, pour en parler. les événements qui ont conduit à sa découverte et comment cet exploit a pu rendre votre prochain séjour à l'hôtel très important plus sûr.
Une nuit à Berlin
"L'histoire commence en 2003, alors que nous assistions à une conférence sur les hackers à Berlin, en Allemagne", a déclaré Tomi Tuominen, responsable des pratiques chez F-Secure. « Quand nous sommes rentrés à l’hôtel, nous avons remarqué que l’ordinateur portable de notre ami avait été volé dans sa chambre d’hôtel – et c’était un bel hôtel. Nous avons prévenu le personnel, et ils ne nous ont pas vraiment pris au sérieux car ils avaient regardé le journal et il n’y avait aucun signe d’entrée ou d’effraction.
«Cela nous a fait réfléchir: comment était-il possible que quelqu'un ait pu entrer dans la chambre d'hôtel sans laisser aucune trace ?
Ce vol, ajoute Timo Hirvonen, consultant senior en sécurité chez F-Secure, était la première étape vers la découverte d'un problème critique. vulnérabilité dans l’un des systèmes de verrouillage électronique les plus populaires au monde – le verrouillage Assa Abloy Vision VingCard système.
« Notre ami faisait des choses assez intéressantes à l’époque, ce qui était certainement une raison pour que quelqu’un lève son ordinateur portable. Cela nous a fait réfléchir: comment était-il possible que quelqu'un ait pu entrer dans la chambre d'hôtel sans laisser aucune trace? » dit Tuominen.
Pendant les quinze années suivantes, Tomi, Timo et le reste de l'équipe F-Secure ont travaillé sur cet exploit dans le cadre d'un projet parallèle. Ils s’empressent cependant de souligner qu’il ne s’agissait pas tant d’un problème insoluble qu’ils réclamaient à grands cris de solution que de c’était tout autant un casse-tête – un passe-temps sur lequel ils travaillaient plus par curiosité que par volonté de déchiffrer le système VingCard.
"Certaines personnes jouent au football, d'autres jouent au golf, et nous faisons simplement... ce genre de choses", a déclaré Tuominen en riant.
Comme vous pouvez l’imaginer, après avoir consacré tant de temps et d’énergie à trouver un moyen de contourner la sécurité du système VingCard, ils étaient ravis lorsqu’ils ont trouvé la réponse. Ce n’était pas juste un simple moment « Aha », l’exploit s’est déroulé par morceaux, mais quand ils l’ont essayé pour la première fois et cela a fonctionné sur une véritable serrure d'hôtel, l'équipe F-Secure savait qu'elle avait quelque chose de spécial sur son mains.
« C’était assez incroyable, je suis sûr que nous nous sommes félicités. Il y a eu des succès plus modestes avant cela, mais lorsque les pièces se sont finalement réunies pour la première fois », a déclaré Tuominen. "Quand nous avons compris comment transformer cela en une attaque pratique qui ne prend que quelques minutes, nous nous sommes dit que oui, cela allait arriver. Nous sommes allés dans un vrai hôtel et l’avons testé et cela a fonctionné, et c’était assez époustouflant.
La clé principale
Très bien, alors comment fonctionne cette attaque? Eh bien, F-Secure n’est pas entré dans les détails pour des raisons de sécurité, mais comment ça marche en pratique est – comme l’a dit Tuominen – époustouflant. Cela commence avec un petit appareil que tout le monde peut récupérer en ligne, et une fois que l'équipe F-Secure charge son firmware sur l'appareil, ils pouvaient entrer dans n'importe quel hôtel en utilisant le système VingCard et avoir un accès par clé principale en quelques minutes. minutes.
« Nous pourrions prendre un ascenseur avec un invité, si celui-ci avait une clé dans sa poche, nous pourrions lire la clé dans la poche avec notre appareil. Ensuite, nous nous dirigeons simplement vers n’importe quelle porte et, généralement, en moins d’une minute, nous pouvons trouver le passe-partout.
« Cela ne prend que quelques minutes. Par exemple, nous pourrions prendre un ascenseur avec un invité, si l'invité avait une clé dans sa poche, nous pourrions lire la clé dans la poche avec notre appareil. Ensuite, nous nous dirigeons simplement vers n'importe quelle porte et, généralement, en moins d'une minute, nous pouvons trouver le passe-partout », a expliqué Hirvonen.
L’attaque fonctionne en lisant d’abord n’importe quelle carte de l’hôtel dans lequel ils souhaitent s’introduire par effraction, même si elle est expirée, ou simplement la carte d’un client régulier. Cette partie peut être effectuée à distance, comme l'a expliqué Tuominen, en lisant les informations dont ils ont besoin directement de votre poche.
Il suffit ensuite de toucher l’appareil à l’une des serrures électroniques de l’hôtel suffisamment longtemps pour qu’il devine le code principal en fonction des informations contenues dans la carte qu’il a d’abord lue. Il ne s’agit pas seulement d’un contournement complet d’un système de serrure électronique, mais aussi d’une attaque pratique utilisant du matériel disponible dans le commerce.
« C’est un petit appareil, le matériel s’appelle Proxmark, c’est quelque chose de accessible au public, vous pouvez l’acheter en ligne pour quelques centaines d’euros. L’appareil est plutôt petit, vous pouvez le tenir facilement dans votre main, il a à peu près la taille d’un briquet », a expliqué Tuominen.
Heureusement, F-Secure est raisonnablement sûr que cet exploit n’a pas été utilisé dans la nature. La solution est assez nouvelle et une fois qu’ils ont su qu’ils avaient une attaque reproductible entre les mains, ils ont immédiatement contacté le fabricant de serrures Assa Abloy pour le leur faire savoir.
« C’est début 2017 que nous avons réussi pour la première fois à créer le passe-partout. Et immédiatement après avoir découvert que nous avions cette capacité, nous avons contacté Assa Abloy. Nous les avons rencontrés pour la première fois en personne en avril 2017. Nous avons expliqué nos découvertes et expliqué l'attaque, et depuis lors, nous travaillons ensemble pour corriger ces vulnérabilités », a déclaré Tuominen. « Au départ, ils pensaient pouvoir corriger les vulnérabilités eux-mêmes, mais lorsqu'ils ont corrigé la vulnérabilité et nous ont envoyé les versions corrigées, nous les avons également cassées plusieurs fois de suite. Depuis, nous travaillons avec eux.
Faut-il s'inquiéter ?
Si vous avez prévu des vacances d’été ou si vous êtes un voyageur fréquent, vous vous demandez peut-être si c’est quelque chose dont vous devez vous soucier? Probablement pas. F-Secure et Assa Abloy ont travaillé main dans la main pour fournir des correctifs logiciels aux hôtels concernés.
« [Assa Abloy] a annoncé les correctifs début 2018, ils sont donc disponibles depuis quelques mois maintenant. Ils ont un site Web de produits sur lequel vous pouvez vous inscrire et télécharger les correctifs gratuitement », a expliqué Tuominen. "Il s'agit uniquement d'un correctif logiciel, mais vous devez d'abord mettre à jour le logiciel principal, puis vous rendre sur chaque porte et mettre à jour le micrologiciel de cette porte ou de cette serrure manuellement."
Ainsi, vous n’aurez probablement pas besoin de garder un œil sur les serrures électroniques de la marque Assa Abloy la prochaine fois que vous serez dans un hôtel. Les patchs sont disponibles depuis le début de l’année, et selon F-Secure il n’y en a pas raison de croire que cet exploit particulier a été utilisé dans la nature – en dehors de leurs propres tests de cours. C'est un point qu'Assa Abloy s'empresse de réitérer dans son communiqué officiel, minimiser le hack.
Néanmoins, il n’y a jamais de mal à être prudent, donc si vous voyagez avec des appareils électroniques coûteux ou sensibles, assurez-vous de les garder sur vous ou physiquement en sécurité dans le coffre-fort de votre chambre d’hôtel. Il est important de se rappeler que ce ne sera pas la dernière fois qu’un système de serrure électronique sera ainsi compromis. Nous avons simplement de la chance que ce soit F-Secure qui ait découvert cette vulnérabilité. D’autres entreprises, individus ou même gouvernements pourraient ne pas être aussi ouverts.
