Dans une révélation choquante, les chercheurs ont découvert des vulnérabilités importantes dans les serrures RFID électroniques Saflok, largement utilisées dans les hôtels et les maisons du monde entier. Ces failles, collectivement nommées “Unsaflok”, permettent aux attaquants de déverrouiller des portes en forgeant des cartes-clés, posant un risque de sécurité grave. La découverte touche environ 3 millions d’écluses Saflok dans 13000 propriétés dans le monde.
La découverte d’Unsaflok
Les vulnérabilités ont été identifiées par une équipe de chercheurs en sécurité, dont Lennert Wouters, Ian Carroll, rqu, BusesCanFly, Sam Curry, shell et Will Caruana, lors d’un événement de piratage privé à Las Vegas en septembre 2022. Cet événement a mis les équipes au défi de trouver des vulnérabilités dans une chambre d’hôtel et ses appareils. Les chercheurs se sont concentrés sur les serrures électroniques Saflok et ont découvert des failles de sécurité qui pourraient potentiellement ouvrir n’importe quelle porte dans l’hôtel.
Fonctionnement de l’attaque
Pour mener à bien l’attaque, les chercheurs devaient d’abord acquérir une carte-clé de la propriété. Cela peut être fait en réservant une chambre ou en récupérant une carte expirée dans la boîte de paiement. À l’aide d’un dispositif de lecture-écriture RFID, ils ont lu le code de la carte-clé et l’ont copié sur deux cartes-clés falsifiées. Ces cartes falsifiées pouvaient alors déverrouiller n’importe quelle porte de la propriété.
Le processus ne nécessite qu’une seule carte-clé de la propriété, qui peut provenir de la chambre de l’attaquant ou d’une carte expirée trouvée dans la boîte de retrait express. Les chercheurs ont démontré que ces cartes-clés falsifiées pouvaient être créées à l’aide de n’importe quelle carte MIFARE Classic et d’un outil disponible dans le commerce capable d’écrire des données sur ces cartes. Une fois créée, la paire de cartes-clés falsifiées pouvait ouvrir n’importe quelle porte dans la propriété.
Différents appareils peuvent être utilisés pour exécuter l’attaque, y compris le Proxmark3, le Flipper Zero ou un smartphone Android compatible NFC. Les chercheurs ont initialement signalé ces vulnérabilités à Dormakaba en septembre 2022.
Serrures touchées
La vulnérabilité touche plus de 3 millions de portes dans plus de 13000 propriétés dans 131 pays. Cela inclut tous les verrous utilisant le système Saflok, tels que le Saflok MT, la série Quantum, la série RT, la série Saffire et la série Confidant.
Ces serrures sont principalement utilisées dans les hôtels qui utilisent le logiciel de gestion Système 6000 ou Ambiance. De plus, certaines applications de logement multifamilial utilisant le système 6000 ou la communauté sont touchées.
Les modèles les plus fréquemment touchés sont le Saflok MT et le Saflok RT Plus (photo ci-dessous). Bien que ces verrous puissent être identifiés visuellement, il n’est pas possible de déterminer visuellement s’ils ont été réparés.
Statut actuel du correctif
Dormakaba a commencé à traiter les vulnérabilités après avoir reçu le rapport des chercheurs, en lançant des mises à niveau dans les hôtels à partir de novembre 2023. En mars 2024, environ 36 % des serrures touchées avaient été mises à jour ou remplacées.
Le processus de mise à niveau est étendu, nécessitant des mises à jour logicielles ou des remplacements de serrures, la réémission de toutes les cartes-clés, la mise à niveau du logiciel de réception et des encodeurs de cartes, et éventuellement la mise à jour d’intégrations tierces comme les ascenseurs, les garages de stationnement et les systèmes de paiement.
Des détails limités sur la vulnérabilité sont divulgués pour sensibiliser le personnel de l’hôtel et les clients. Le processus complet de mise à niveau devrait prendre un temps considérable.
Atténuation et recommandations
Dormakaba a commencé à remplacer et à mettre à niveau les serrures touchées en novembre 2023, un processus qui implique également de réémettre toutes les cartes-clés et de mettre à niveau les encodeurs. Cependant, les chercheurs notent qu’il faudra beaucoup de temps à la majorité des hôtels pour compléter ces améliorations.
Pour détecter une exploitation potentielle, le personnel de l’hôtel peut vérifier les journaux d’entrée et de sortie de la serrure, bien que ces données ne soient pas toujours suffisantes pour identifier les accès non autorisés. Les clients peuvent vérifier si leurs serrures de chambre sont vulnérables en utilisant l’application NFC Taginfo sur leurs smartphones pour identifier le type de carte-clé. Les cartes MIFARE Classic indiquent une vulnérabilité probable.
La découverte des vulnérabilités d’Unsaflok souligne l’importance des évaluations de sécurité et des mises à jour continues pour les systèmes de verrouillage électronique. Alors que Dormakaba et les chercheurs travaillent avec diligence pour remédier à ces défauts, le déploiement étendu des serrures affectées signifie que les propriétés et les invités doivent rester vigilants. En comprenant les risques et en prenant des mesures proactives, nous pouvons mieux nous protéger contre les menaces potentielles à la sécurité dans notre monde de plus en plus numérique.