Les chercheurs ont révélé aujourd’hui des vulnérabilités qui ont un impact sur 3 millions de serrures électroniques RFID Saflok déployées dans 13 000 hôtels et foyers dans le monde, permettant aux chercheurs de déverrouiller facilement n’importe quelle porte d’un hôtel en forgeant une paire de cartes-clés.
La série de failles de sécurité, surnommée « Unsaflok », a été découverte par les chercheurs Lennert Wouters, Ian Carroll, rqu, BusesCanFly, Sam Curry, shell et Will Caruana en septembre 2022.
Comme indiqué pour la première fois par Wired, les chercheurs ont été invités à un événement de piratage privé à Las Vegas, où ils ont rivalisé avec d’autres équipes pour trouver des vulnérabilités dans une chambre d’hôtel et tous les appareils qu’elle contient.
L’équipe de chercheurs s’est concentrée sur la recherche de vulnérabilités dans la serrure électronique Saflok pour la chambre d’hôtel, découvrant des failles de sécurité qui pourraient ouvrir n’importe quelle porte de l’hôtel.
Les chercheurs ont divulgué leurs conclusions au fabricant Dormakaba en novembre 2022, permettant au fournisseur de travailler sur des mesures d’atténuation et d’informer les hôtels du risque de sécurité sans rendre public le problème.
Cependant, les chercheurs notent que les failles sont disponibles depuis plus de 36 ans, donc bien qu’il n’y ait eu aucun cas confirmé d’exploitation dans la nature, la longue période d’exposition augmente cette possibilité.
« Bien que nous ne soyons au courant d’aucune attaque réelle utilisant ces vulnérabilités, il n’est pas impossible que ces vulnérabilités soient connues et aient été utilisées par d’autres », explique l’équipe Unsaflok.
Aujourd’hui, les chercheurs ont divulgué publiquement les vulnérabilités Unsaflok pour la première fois, avertissant qu’elles affectaient près de 3 millions de portes utilisant le système Saflok.
Les défauts d’Unsaflok
Unsaflok est une série de vulnérabilités qui, lorsqu’elles sont enchaînées, permettent à un attaquant de déverrouiller n’importe quelle pièce d’une propriété à l’aide d’une paire de cartes-clés falsifiées.
Pour lancer l’exploitation, l’attaquant n’a besoin de lire qu’une seule carte-clé de la propriété, qui peut être la carte-clé de sa propre chambre.
Les chercheurs ont procédé à l’ingénierie inverse du logiciel de réception de Dormakaba et d’un dispositif de programmation de serrure, apprenant à usurper une clé maîtresse fonctionnelle qui pourrait ouvrir n’importe quelle pièce de la propriété. Pour cloner les cartes, ils ont dû déchiffrer la fonction de dérivation de clé de Dormakaba.
Les cartes-clés forgées peuvent être créées à l’aide de n’importe quelle carte MIFARE Classic et de tout outil disponible dans le commerce capable d’écrire des données sur ces cartes, y compris Poxmark3, Flipper Zero et un smartphone Android compatible NFC.
L’équipement nécessaire pour créer les deux cartes utilisées dans l’attaque coûte moins de quelques centaines de dollars.
Lors de l’exploitation des failles, la première carte réécrit les données de la serrure et la seconde ouvre la serrure.
Les chercheurs n’ont pas fourni d’autres détails techniques pour le moment afin de laisser le temps aux différentes propriétés de mettre à niveau leurs systèmes.
Un large impact
Les défauts Unsaflok impactent plusieurs modèles Saflok, dont le Saflok MT, la série Quantum, la Série RT, la Série Saffire et la série Confidant, gérés par le logiciel System 6000 ou Ambiance.
Les modèles concernés sont utilisés dans trois millions de portes sur 13 000 propriétés dans 131 pays, et bien que le fabricant travaille activement à atténuer la faille, le processus est compliqué et prend du temps.
Les chercheurs disent que Dormakaba a commencé à remplacer/mettre à niveau les serrures impactées en novembre 2023, ce qui nécessite également de réémettre toutes les cartes et de mettre à niveau leurs encodeurs. En mars 2024, 64% des écluses restent vulnérables.
« Nous divulguons maintenant des informations limitées sur la vulnérabilité pour nous assurer que le personnel de l’hôtel et les clients sont conscients du problème potentiel de sécurité », peut-on lire dans le message des chercheurs.
« Il faudra une longue période de temps pour que la majorité des hôtels soient modernisés. »
Il est en outre noté que des cartes-clés malveillantes peuvent remplacer le pêne dormant, de sorte que la mesure de sécurité n’est pas suffisante pour empêcher une entrée non autorisée.
Le personnel de l’hôtel pourrait être en mesure de détecter les occurrences d’exploitation active en vérifiant les journaux d’entrée/sortie de la serrure. Cependant, ces données peuvent encore être insuffisantes pour détecter avec précision les accès non autorisés.
Les clients peuvent déterminer si les serrures de leurs chambres sont vulnérables en utilisant l’application NFC Taginfo (Android, iOS) pour vérifier le type de carte-clé depuis leur téléphone. Les cartes MIFARE Classic indiquent une vulnérabilité probable.
Les chercheurs ont promis de partager tous les détails de l’attaque Unsaflok à l’avenir lorsque l’effort de remédiation atteindra des niveaux satisfaisants.