Les nouvelles technologies et la numérisation croissante remplacent désormais beaucoup de choses, même les clés. Il n'y a pratiquement plus de voiture que l'on doive ouvrir avec une clé. Et dans les hôtels en particulier, il est difficile d'imaginer utiliser une clé plutôt qu'une carte à puce.
Mais malheureusement, partout où la technologie numérique est impliquée, il y a aussi des dangers. Un groupe de chercheurs en sécurité a découvert en septembre 2022 une faille de sécurité dans les cartes-clés dotées de puces RFID, qu'ils viennent de publier sur leur site web.
Concrètement, il s'agit de cartes du fabricant suisse Dormakaba avec le système «Saflok», qui est utilisé aussi bien dans les hôtels que dans les immeubles. Selon les indications des chercheurs, environ trois millions de serrures RFID dans 131 pays du monde sont concernées par la faille de sécurité appelée «Unsaflok». Le système «Saflok» est utilisé depuis 1988.
Des cartes magnétiques contrefaites pourraient potentiellement offrir un accès non autorisé à des millions de chambres d'hôtel et de maisons. Cette manipulation s'effectue en scannant n'importe quelle carte magnétique, même expirée, à l'aide d'un dispositif de lecteur RFID, permettant ainsi de déverrouiller une serrure à carte magnétique. Bien que jusqu'à présent aucun cas n'ait été signalé par les chercheurs en sécurité, cette menace ne peut être ignorée. Cette technique pourrait rendre inefficaces même les systèmes de verrouillage de sécurité.
Security researchers demonstrate #Unsaflok vulnerability in dormakaba electric RFID locks.
— Martin Hodás (@Hody_MH11) March 22, 2024
Video courtesy of @LennertWo, Ian Carroll, @rqu53, @BusesCanFly, @samwcyo, @sshell_ & Will Caruana. pic.twitter.com/TTe71vRj3E
Une fois le problème identifié, les failles auraient été signalées au fabricant dès septembre 2022. Mais jusqu'à présent, seuls 36% environ des serrures menacées ont été mises à jour ou remplacées, comme l'indique le site Internet. Ce processus n'a commencé qu'en novembre 2023, soit plus d'un an après l'annonce au fabricant.
Cependant, la procédure de mise à niveau peut être longue et difficile. Les serrures devant être remplacées ou le logiciel mis à jour. En outre, toutes les cartes magnétiques doivent être rééditées. De plus, le logiciel de la réception et les encodeurs de cartes doivent également être mis à jour. L'intégration de fournisseurs tiers, par exemple pour les ascenseurs, les parkings et les systèmes de paiement, pourrait nécessiter des mises à jour supplémentaires, expliquent les chercheurs.
Traduis et adapté par Noëline Flippe