Comment ouvrir 4 millions de chambres d’hôtel en quelques lignes de code

Classé dans : Libr'en Vrac | 9

Nous avons consacré un billet à la (merveilleuse) histoire du libre circuit imprimé Arduino.

Puis, tout récemment, nous avons mis en exergue une conférence TED de l’un de ses créateurs qui s’enthousiasmait de la diversité et originalité des projets dérivés d’Arduino.

Il aurait pu ajouter celui-ci…

PS : Alors, Ritz ou Carlton cet été pour les vacances ?

Cory Doctorow - CC by-sa

Un hacker « black hat » peut ouvrir 4 millions de chambres d’hôtel grâce à un microcontrolleur Arduino

Black Hat hacker gains access to 4 million hotel rooms with Arduino microcontroller

Sebastian Anthony – 25 juillet 2012 – ExtremeTech
(Traduction Framalang : esperolinuxien, ZeHiro, Martin)

Mauvaise nouvelle: Pour moins de 50$ de matériel et un petit peu de programmation, un hacker peut ouvrir, instantanément et sans laisser de trace, des millions de chambres d’hôtel protégées par une carte-clé.

Ce hack a été présenté par Cody Brocious, un développeur de chez Mozilla, à la « Black Hat Security Conference » de Los Angeles. 4 millions de chambres d’hôtel sécurisées par les serrures programmables à carte vendues par Onity sont menacées. Selon Bocious, que l’on devrait réprimander pour ne pas avoir divulgué le hack à Onity avant de le rendre public, il n’y a pas de correction facile par une mise à jour du firmware. Si les hôtels veulent sécuriser les chambres de leurs clients, chaque serrure devra être changée.

Le hack est entièrement détaillé sur le site internet de Borcious, mais en quelques mots : à la base de chaque serrure Onity se trouve un petit port alimentation DC (simplement identique à celui de votre vieux téléphone Nokia). Ce port est utilisé pour recharger la batterie de la serrure, et pour programmer cette dernière avec le « sitecode » de l’hôtel – une clé 32-bit identifiant celui-ci. En connectant un microcontrolleur Arduino dans le port DC, Brocious a trouvé qu’il pouvait simplement extraire cette clé 32-bit de la mémoire de la serrure. Aucune authentification n’est requise – et la clé est enregistrée à la même place dans chaque serrure Onity.

Le meilleur : en introduisant ce code 32-bit dans la serrure… elle s’ouvre ! D’après Brocious, 200 millisecondes sont simplement nécessaires pour lire le “sitecode” et ouvrir la serrure. « Je le branche, l’allume, et la serrure s’ouvre » confie Brocious. Sa mise en œuvre actuelle ne fonctionne pas avec toutes les serrures, et il ne compte pas mener plus loin ses investigations, mais ses documents de recherche prouvent de manière très claire que les serrures Onity, assez ironiquement, ne disposent même pas de la sécurité la plus élémentaire.

J’aimerais pouvoir dire que Brocious a consacré des mois à ce hack, pratiquant une rétro-ingénierie minutieuse du protocole des serrures Onity, mais la vérité est bien plus triste. « Avec cette simplicité enfantine, je ne serais pas surpris si un millier d’autres personnes avait trouvé la même vulnérabilité et l’avais vendue à d’autres gouvernements » déclare Brocious, dans une interview accordée à Forbes. « Un stagiaire à la NSA pourrait trouver cela en cinq minutes. »

C’est de cette manière qu’il justifie la divulgation au public de la vulnérabilité : si les agences de sécurité et les milices privées ont déjà accès à des millions de chambres d’hôtel, alors de cette manière Brocious contraint Onity a corriger son erreur. Informer le public signifie aussi que nous pouvons trouver d’autres méthodes pour sécuriser nos chambres – avec des chaînes ou des verrous blindés à l’intérieur des chambres par exemple.

Concernant la justification d’Onity pour un tel manquement à la sécurité, personne ne sait. Généralement, tant que les affaires roulent, sécuriser un système est une dépense inutile – jusqu’à ce que celui-ci soit hacké. Ce genre de vulnérabilité n’a rien d’extraordinaire venant d’une entreprise traditionnelle – en général, une entreprise n’embauche un spécialiste de la sécurité qu’après avoir connu un hack surmédiatisé. Pour une entreprise dont le rôle est de sécuriser le sommeil de millions de personnes chaque nuit, Onity aurait pu faire preuve d’un peu plus de précautions.

Crédit photo : Cory Doctorow (Creative Commons By-Sa)

9 Réponses

  1. Alex Walker

    Ça s’est déjà vu, Onity va lui coller un procès, je le sens gros comme un camion…

  2. J’aurais cru que Cory Doctorow ferait un parallèle vers l’importance des systèmes ouverts et de la futilité de la sécurité par le secret. Après tout, si on récapitule, on a un système permettant d’ouvrir pratiquement toutes les serrures de milliers d’hôtels à travers le monde, et cela _sans laisser aucune trace_. Tout ça parce que des programmeurs se sont dit que le « secret » du protocole de communication suffisait à sécuriser le système…

    Il est à la limite troublant de constater qu’une faille aussi béante existe depuis des années. C’est toujours facile de dire ça après coup, mais je ne vois honnêtement pas comment une société sérieuse, employant plusieurs centaines de personnes et en affaires depuis plus de 50 ans, peut mettre en marché un produit aussi _fonctionnellement_ déficient (après tout, la fonctionnalité même d’une serrure est de verrouiller). À la limite, si au moins il fallait démonter la serrure pour avoir accès au port de communication, ça serait un peu plus tendu côté discrétion, mais même pas. C’est presque à croire qu’ils l’ont fait exprès…

    Dans tous les cas, c’est un autre bel exemple de ce que l’Arduino peut apporter concrètement.

  3. haha !
    «  »Si les hôtels veulent sécuriser les chambres de leurs clients » »
    Qu’une chaîne d’hôtels dise n’importe quoi, qui cela étonne ? Mais que tu tombes dans le panneau ….
    Tu vises le séjour offert aux Maldives ou quoi ? Des ménages ?
    Refais ton article ! Là, c’est juste une bouse !

  4. C’est pas très sérieux …

  5. @pmls

    ceci est une traduction, l’auteur aura du mal à répondre…

  6. @ZeHiro

    Oh et ça me fait voir que ce n’est _pas_ un article de Cory Doctorow, mais seulement la photo du début de l’article qui vient de lui. Je me disais aussi que ce gars là ne laisserait pas passer une occasion de dénoncer la sécurité par l’obscurité ;-)

  7. C’est pour ça que dans tous les hôtels où je suis allé il y avait un verrou à l’intérieur, même dans le 4 étoiles quand j’étais en Chine (les autres avaient des clefs traditionnels… parfois comme ceux d’une porte de chambre).

    C’est aussi pour ça qu’il ne faut rien laisser de valeur dans les chambres quand on s’absente, et les ranger un peu quelque part la nuit.

    Bonne vacances

  8. patrick L

    trop drôle la bêtise de certains vendeurs de sécurité.

    j’admets pas que des élites de sécurité n’aient même pas pensé de mettre une clef privé sous forme de microcode implanté dans les serrures et avec les cartes contenant le chiffrage via clef publique de la serrure.

  9. clint

    @pmls et @Greg
    Le probleme est surtout concernant l’espionnage industriel.
    Ceci dit pour les ervices de renseignement du pays hote il suffit de demander la cle a la reception; je ne pense pas qu’ils aient la possibilité de refuser.