[le_gremz]

Joli hack de 2 chercheurs de chez F-Secure qui pose un petit problème a ceux qui voyagent beaucoup et sont habitués aux hôtels...

Environ 40 000 hôtels sont concerné par ce problème, ceux équipés de Vision de VingCard.

Les détail du hack n'ont pas été publiés car F-Secure bosse avec les hôtels pour sécuriser tout ce merdier, mais voila les détails de base :

1 - l'attaquant a besoin d'une carte d’accès de l’hôtel cible, quelle soit en cours ou révoquée,qu'elle ne serve qu'au local poubelle ou la plus minable des chambre, ça n'a pas d'importance.
1.1 - Vu que l'attaquant a juste besoin du contenu RFID de la carte, une simple proximité avec un employé ou un autre client peut-faire le taf.

2 - L'attaquant forge une carte "maîtresse" en quelques minutes en se basant sur les données de la carte originale. Puis avec RFID reader/writer (une centaine d'euros sur internet) que l'attaquant va coller contre la serrure il va tester plusieurs clés en moins d'une minute pour trouver celle qui ouvre la porte...

3 - Profit.

Mais ca date de quand cette faille ??? Hé ben on sait pas trop... Mais , il y a une dizaine d'années, un employé de F-Secure qui donnait une conférence dans un hôtel s'était fait dérober son laptop dans sa chambre... Sans trace d'effraction, ni de trace dans le registre des accès de la chambre...

Je vous laisse imaginer ce que des truands peuvent faire d'une telle faille voire mieux... Nos amis des agences gouvernementales (NSA,CIA,FBI,DGSE et autre agences plus secrètes au point de ne pas avoir d’acronyme pétés...).

Les tricks de bases sont donc de ne pas laisser des objets de valeurs dans la chambre, mettre la chaine de porte lors que vous êtes dedans et être prudent.

Bonne nuit  

Source :
https://www.presse-citron.net/piratage-faille-securite-serrures-hotel/ (FR)
https://thehackernews.com/2018/04/hacking-hotel-master-key.html (EN mais avec plus de détail )

[Asphator]

Il me semble que ça date.

Plus simple encore et sans besoin de dépense de sous :
1) Repérer la chambre Z qui vous intéresse
2) Allez à l'accueil et demander si votre collègue M. XX est bien arrivé et s'il est bien dans la chambre Z. Quand on vous répond non, feindre la surprise et demander "ah bon, c'est pas M. X? Qui c'est alors? Parce que ma secrétaire m'a écrit que ça serait lui dans cette chambre" (ou inventer toute autre histoire), puis obtenir le nom de M. Y
3) Revenir à un autre moment dans la journée quand c'est une autre personne à l'accueil et dire "euh, j'ai été bête, je me suis enfermé dehors, j'ai laissé mes papiers et mon badge dans la chambre. Pourriez-vous m'en refaire un svp, je vous redescend l'autre. 9x sur 10, on ne vous demandera que votre nom, pour tout le reste: c'est dans la chambre. Pour peu que vous soyez en maillot de bain en feignant revenir de la piscine, c'est encore plus rapide histoire qu'ils ne vous embarrassent pas trop.

Fonctionnait plutôt bien dans les hôtels d'une taille certaine il y a encore 5 ans et dans les pays africains ou d'europe de l'Est..

Après, on ne parlera pas des coffres-forts des chambres d'hôtel. A éviter.