Sur le blog de Spider Labs, la société qui l'emploie, Matthew Jakubowski met en avant le travail d'un hacker nommé Cody Brocious : c'est lui qui, le premier, a mis le doigt sur une faille permettant d'ouvrir des millions de portes de chambres d'hôtel à l'aide d'un système basé sur un contrôleur Arduino. Une démarche « A la James Bond » que Jakubowski a entrepris d'adapter dans un appareil bien plus petit que celui de Brocious, à savoir de la taille et de la forme d'un stylo. Le gadget parfait pour s'introduire dans une pièce verrouillée par un système électronique avec la classe d'un espion britannique.
Matthew Jakubowski explique toute la marche à suivre pour construire un tel appareil, capable d'ouvrir discrètement les serrures électroniques de marque Onity, très répandue à travers le monde. Non seulement l'appareil n'est pas particulièrement onéreux à fabriquer, mais il s'avère assez simple à concevoir pour un bon bricoleur. Il suffit ensuite d'insérer l'appareil à l'endroit normalement prévu pour accueillir le passe partout de l'hôtel pour que le système accède à la mémoire de la serrure et la déverrouille.
La faille en elle-même n'est pas nouvelle, puisque Cody Brocious l'avait déjà mise en avant lors d'une conférence Black Hat en juillet dernier. Mais la démarche de Jakubowki avait un autre objectif : « Je pense que nous avons voulu démontrer que ce genre d'attaque peut être produite avec un tout petit appareil très facile à dissimiler » explique-t-il. L'ensemble de l'appareil tient en effet dans un petit marqueur, qui passe totalement inaperçu du moment qu'on ne regarde pas la mine.
Si Cody Brocious avait exposé la faille, Matthew Jakubowski donne, sans jeu de mots, la clé pour l'exploiter : une situation qui pourrait poser problème aux hôtels qui utilisent les serrures Onity concernées, mais devrait les motiver à régler cet important problème de sécurité.
