Des chercheurs en cybersécurité ont mis au point une technique pour pirater les verrous Saflok utilisés dans des milliers d’hôtels à travers le monde. Cela représente trois millions de portes d’hôtel, et à ce jour à peine plus d’un tiers ont été mis à jour pour bloquer cette attaque.


au sommaire


    Tous les ans, les spécialistes de la cybersécurité se réunissent à Las Vegas pour deux conférences, Black Hat et DefconDefcon. Pendant leur séjour dans la ville, ils n'hésitent pas à tester la sécurité des différentes installations qu'ils rencontrent. En août 2022, ils s'en sont pris au système de cartes pour accéder à leurs chambres d'hôtel, et ils ont découvert une faille très grave qui leur permettait d'ouvrir n'importe quelle serrure de ce type par le même fabricant.

    Cela concerne plus de trois millions de serrures, dans plus de 13 000 établissement répartis dans 131 pays, tous utilisant le système Saflok. Les chercheurs ont donc baptisé leur technique pour les ouvrir Unsaflok. Afin d'ouvrir toutes ces portesportes, il leur suffit de passer une carte spécialement créée pour reprogrammer la serrure, et une seconde pour la déverrouiller. Et ce, même si le verrouverrou manuel a été enclenché.

    Seuls 36 % des hôtels ont mis à jour leur système

    Pour parvenir à pirater le système d'un hôtel, les chercheurs doivent toutefois mettre la main sur une carte existante, même si elle est expirée. Ils ont obtenu un boîtier d'encodage habituellement distribué qu'aux hôtels, et ont réussi à recréer le logiciel pour s'y connecter. Cela leur permet d'extraire l'identifiant propre à cet établissement, puis de créer les deux cartes nécessaires en utilisant un boîtier RFID Proxmark. Ils peuvent ensuite ouvrir toutes les portes de l’hôtel avec ces mêmes cartes.

    Les chercheurs ont alerté Dormakaba, le constructeur des serrures Saflok, en septembre 2022, et ont ensuite travaillé avec l'entreprise pour trouver une solution. La firme a commencé à déployer une mise à jour en novembre 2023, mais le processus est assez long. Chaque serrure doit être mise à jour ou changée, et il faut mettre à jour le logiciel et l'encodeur de cartes de la réceptionréception, puis toutes les cartes doivent être refaites. À ce jour, seuls 36 % des serrures ont été mises à jour ou remplacées. Pour cette raison, les chercheurs ne publieront les détails de la faille que plus tard.