C’est un groupe de hackers éthiques qui vient de mettre en évidence une faille de sécurité importante au niveau des serrures électroniques Saflok utilisées par des milliers d’hôtels à travers le monde. La faille en question touche ainsi potentiellement 3 millions de chambres d’hôtel qui peuvent être déverrouillées par des individus mal intentionnés.
Les hôtels et services de location ont de plus en plus recours aux serrures connectées par commodité : elles permettent de créer des pass temporaires, de multiplier les titres d’identification au besoin, de déverrouiller à distance, et de simplifier les remises de clés ainsi que les check-out pour les clients.
Le collectif Unsaflok a toutefois trouvé une faille au sein des systèmes de serrures Saflok permettant de dupliquer et falsifier des cartes clés permettant ainsi de déverrouiller n’importe quelle serrure.
Une problématique complexe
Quelques modèles sont particulièrement concernés par le problème : MT, TR, Quantum, Condidant et Saffire. On compte plus de 13000 complexes hôteliers équipés de ces serrures vulnérables dans un total de 131 pays.
Pour que la faille soit exploitée, il faut disposer d’une paire de cartes clés MIFAR classic et d’un appareil permettant d’écrire sur les cartes. Un smartphone Android équipé d’un lecteur NFC permet quant à lui de lire et enregistrer le code de la clé originale.
La problématique est complexe pour Saflok puisque certains modèles concernés par cette faille ont été commercialisés depuis 1988. Selon les modèles, une mise à jour logiciel suffirait à combler la faille tandis que d’autres nécessitent un remplacement partiel de matériel. Saflok tente de rassurer en annonçant qu’à ce jour, aucun cas d’exploitation de la faille n’a été signalé.