Dans une rvlation qui soulve des questions sur la scurit des biens commerciaux, il a t dcouvert que certaines des serrures de coffre-fort les plus populaires contiennent des codes daccs secrets, potentiellement exploitables par des tiers. Cette information a t mise en lumire dans une lettre du snateur amricain Ron Wyden, qui a exhort le gouvernement des tats-Unis avertir explicitement le public des vulnrabilits prsentes dans ces serrures.
Les fabricants concerns, SECURAM et Sargent and Greenleaf (S&G), sont connus pour produire des serrures clavier intgres dans des coffres-forts par dautres fabricants. Bien que la liste complte des serrures affectes reste inconnue, des documents disponibles en ligne indiquent que plusieurs produits SECURAM incluent ces codes secrets, et S&G a confirm loffice de Wyden que certaines de ses propres serrures possdent galement des codes similaires.
Ces codes, souvent appels codes de rinitialisation du fabricant ou codes de gestion , pourraient permettre des espions ou des criminels de contourner les serrures sans le consentement du propritaire et ne sont parfois pas divulgus aux clients. Le Dpartement de la Dfense des tats-Unis interdit lutilisation de telles serrures pour des applications gouvernementales sensibles et classifies, en partie cause de la vulnrabilit de scurit que ces codes de rinitialisation reprsentent
Le snateur de l’Oregon Ron Wyden a demand au directeur du National Counterintelligence and Security Center (NCSC), Michael Casey, d’alerter le public sur la possibilit que le gouvernement chinois possde des codes de porte drobe pour les serrures lectroniques fabriques en Chine, en mettant jour le matriel ducatif public pour recommander aux entreprises de mettre niveau leurs serrures de coffre-fort afin de rpondre aux normes de scurit du gouvernement amricain.
Les fabricants de serrures utilises par les consommateurs et les entreprises ont l’habitude, mme si elle n’est pas trs connue, d’utiliser des codes de porte drobe. En rponse aux questions du bureau de Wyden, le ministre de la dfense (DoD) a confirm la menace pour la scurit nationale que reprsentent ces codes de rinitialisation du fabricant, qui ne sont pas autoriss dans les serrures utilises pour conserver les secrets du gouvernement amricain. Le ministre de la dfense, qui est responsable des normes du gouvernement amricain en matire de scurit des serrures, a galement confirm que l’existence de ces portes drobes avait t intentionnellement cache au public afin d’viter de rvler les mthodes utilises par le gouvernement amricain pour accder aux serrures et aux coffres-forts.
Le snateur Wyden a galement soulign que, bien que les agences gouvernementales et les forces de lordre puissent demander laccs ces codes, gnralement via un mandat ou une assignation, pour aider enquter sur un crime ou rpondre une proccupation de scurit nationale, ces codes pourraient tre exploits par des adversaires trangers pour voler des informations sensibles stockes dans des coffres-forts, telles que des secrets commerciaux et dautres proprits intellectuelles :
De nombreux coffres-forts disponibles dans le commerce comportent des serrures lectroniques qui peuvent galement tre dverrouilles l’aide de codes spciaux dfinis par le fabricant et connus de lui seul , a crit Wyden. Ces codes de porte drobe peuvent tre exploits par des adversaires trangers pour voler des informations sensibles que les entreprises amricaines stockent dans des coffres-forts, telles que des secrets commerciaux et d’autres lments de proprit intellectuelle .
Les codes de rinitialisations des fabricants : une menace pour la scurit nationale, selon Wyden
Trois entreprises fabriquent la grande majorit des serrures lectroniques de coffre-fort utilises aux tats-Unis : SECURAM Systems, base en Chine, Sargent et Greenleaf, bases aux tats-Unis, et dormakaba, base en Suisse.
Cette situation est particulirement proccupante en ce qui concerne les serrures lectroniques de coffre-fort fabriques en Chine, telles que celles produites par SECURAM Systems, un important vendeur de serrures lectroniques de coffre-fort vendues aux tats-Unis. En tant quentreprise base en Chine, SECURAM est oblige de se conformer la loi chinoise, y compris lexigence de cooprer avec des demandes secrtes dassistance la surveillance, ce qui pourrait forcer SECURAM partager des codes avec le gouvernement chinois qui permettraient un accs clandestin aux coffres-forts utiliss par les entreprises amricaines.
C’est en tout cas ce que fait comprendre Wyden lorsqu’il souligne la menace que les codes de rinitialisation des fabricants font peser sur la scurit nationale : SECURAM Systems, dont le sige est en Chine, est l’un des plus grands fabricants de serrures de coffre-fort lectroniques vendues aux tats-Unis , poursuit Wyden. SECURAM pourrait tre contraint de partager avec le gouvernement chinois des codes qui permettraient un accs subreptice ou clandestin aux coffres-forts utiliss par les entreprises amricaines .
la lumire de cette menace d’espionnage pose par les espions trangers , Wyden souhaite que le NCSC mette jour son matriel pdagogique en recommandant aux entreprises d’utiliser des serrures qui rpondent galement aux normes de scurit du gouvernement amricain – et vraisemblablement sans codes de porte drobe.
Mais, a-t-il averti, les gens ne peuvent pas agir de la sorte s’ils ne sont mme pas au courant du problme :
Les entreprises amricaines ne peuvent pas protger leur prcieuse proprit intellectuelle et, par consquent, l’avantage conomique mondial de l’Amrique, contre l’espionnage tranger si elles sont tenues dans l’ignorance des vulnrabilits des serrures des coffres-forts qu’elles utilisent. cette fin, j’invite le NCSC mettre jour ses documents d’information destins au public afin de recommander aux entreprises de remplacer leurs serrures de coffre-fort par des serrures conformes aux normes de scurit du gouvernement amricain , a conclu Wyden.
Un problme connu du ministre amricain de la dfense
Le ministre amricain de la dfense (DoD) est bien conscient du problme, selon Wyden, qui cite un courriel du DoD dat du 8 novembre, dans lequel les codes de rinitialisation des fabricants sont considrs comme une menace pour la scurit. Mais si le ministre de la dfense interdit aux agences gouvernementales d’utiliser ces serrures, il ne veut pas que le public amricain sache qu’elles existent, affirme la lettre :
Le DoD a galement fourni mon quipe le livre blanc ci-joint le 15 dcembre 2023, rvlant que les normes du gouvernement amricain pour les serrures approuves ne font pas explicitement rfrence ces codes de porte drobe afin d’viter d’informer le public de leur existence. En bref, le gouvernement a choisi de maintenir le public dans l’ignorance de cette vulnrabilit, aprs en avoir discrtement protg les agences gouvernementales.
Source : lettre de Wyden
Et vous ?
Quelle est votre raction initiale la dcouverte de codes daccs secrets dans les serrures de coffre-fort populaires ?
Comment les entreprises devraient-elles rpondre ces vulnrabilits de scurit ?
Pensez-vous que les fabricants de serrures devraient tre tenus responsables de divulguer lexistence de tels codes aux consommateurs ?
Quelles mesures prventives pouvez-vous envisager pour protger vos biens contre de telles failles de scurit ?
La dcouverte de ces codes secrets change-t-elle votre perception de la scurit des coffres-forts lectroniques ?
Comment les rgulateurs et les organismes de certification devraient-ils agir face ces rvlations ?
Quel rle le gouvernement devrait-il jouer pour assurer la scurit des informations sensibles stockes dans des coffres-forts ?
En tant que consommateur, seriez-vous prt utiliser des serrures de coffre-fort qui ncessitent des audits de scurit rguliers ?