Un jeune hacker a fait mercredi lors de la conférence Black Hat la démonstration d'une vulnérabilité qui permet d'ouvrir en quelques secondes la serrure électronique d'une chambre d'hôtel à l'aide d'un simple contrôleur de type Arduino et de quelques lignes de code. Seul prérequis : il faut que ladite serrure et le lecteur de cartes magnétiques associé soient fournis par la société Onity, qui selon ses propres chiffres, équiperait plus de 3,7 millions de portes à travers 115 pays.
Cody Brocious, chercheur en sécurité et développeur chez Mozilla, n'a pourtant rien d'un Arsène Lupin. Il confie d'ailleurs avoir découvert cette brèche presque par hasard, en explorant les possibilités d'une serrure électronique achetée sur le Net.
La vulnérabilité réside selon lui dans le fait qu'il est possible de communiquer, sans authentification préalable, avec le contrôleur intégré à la serrure, par l'intermédiaire du connecteur électrique qui sert à la réinitialiser ou à alimenter la batterie qu'elle contient. À l'aide d'un circuit logique dûment programmé, il parvient ainsi à lire la clé numérique qui sert à identifier les cartes magnétiques autorisées, mais aussi à déclencher purement et simplement l'ouverture.
Pour ce faire, nul besoin de passer en force ou de tester des millions de combinaisons : interrogée, la serrure retourne sans coup férir le code qui la protège, la seule difficulté résidant dans le fait que selon les modèles, la clé numérique associée, codée sur 32 bits, peut être stockée à des emplacements mémoire différents. Côté matériel, il lui suffit de se munir d'un contrôleur programmable de type Arduino, d'une résistance et d'un connecteur secteur adapté à la serrure, « ce qui peut se trouver à 20 dollars ou moins chez Radioshack » d'après sa présentation.
Dans les faits, son système mérite encore quelques améliorations, mais un journaliste de Forbes confirme l'avoir vu opérer avec succès dans un hôtel new-yorkais sur au moins une porte sur trois. « Je le branche, l'allume et la porte s'ouvre », résume Cody Brocious.
Insecure by design ?
La portée de ses découvertes ne s'arrête pas là : à partir du moment où l'on parvient à lire le contenu de la mémoire d'une serrure, il devient selon lui possible de réaliser des cartes master, telles qu'en utilisent par exemple les agents de sécurité des hôtels.
« Vu la simplicité toute bête de la chose, je ne serais pas surpris qu'un millier de personnes ait découvert cette même vulnérabilité et l'ait vendue à d'autres gouvernements », commente Brocious auprès de Forbes. « Un stagiaire de la NSA pourrait trouver ça en cinq minutes ».
Onity n'a pour l'instant pas souhaité commenter les travaux du jeune homme, dont on pourra lire les explications techniques, ainsi que la présentation effectuée à la Black Hat (PDF). Sa découverte semble d'autant plus gênante que les circuits des serrures incriminées ne peuvent pas, selon lui, être mis à jour de façon logicielle.
