Aujourd’hui, lorsque vous vous rendez dans un hôtel, il y a de très fortes chances qu’on vous tende une clé magnétique en forme de carte bancaire pour ouvrir votre chambre avec. Ce format est très prisé des voyageurs : il est facile de glisser la clé dans une poche ou dans un portefeuille. Pour les hôtels, c’est également pratique, car, en cas de perte, il suffit simplement de désactiver la carte.

Cependant, il y a un revers à cette médaille d’efficacité, et il n’est pas glorieux. Cela concerne le système Saflok, qui est utilisé dans 13 000 hôtels répartis dans 131 pays du globe. Il s’agit de l’un des systèmes de verrou magnétique parmi les plus utilisés au monde : il est utilisé pour trois millions de serrures. Et il a une énorme faille !

Hacker une porte de chambre d’hôtel, c’est facile

Chaque année, Las Vegas rassemble tout le gratin de la cybersécurité à l’occasion de deux conférences : la Defcon et la Black Hat. Et Vegas compte des milliers de chambres d’hôtel. Durant ces événements, des experts en sécurité et de « gentils » hackers peuvent s’en donner à cœur joie, y compris pour tenter de pirater les portes des chambres d’hôtel.

C’est ainsi qu’en 2022, certains d’entre eux ont réussi à concevoir une carte capable de déverrouiller n’importe quelle serrure Saflok en la reprogrammant. Ils ont baptisé leur technique Unsaflok, et l’ont gardé secret pendant un an et demi, en informant tout de même les professionnels pour les sensibiliser au problème, et les motiver à mettre à jour leur système.

Une énorme faille de sécurité révélée au grand jour

C’est finalement en mars 2024 qu’Unsaflok a été rendu public sur un site du même nom. « Unsaflok est une série de vulnérabilités sécuritaires graves dans les serrures RFID électroniques Saflok de Dormakaba, couramment utilisées dans les hôtels », explique le site. « Lorsqu’elles sont combinées, les faiblesses identifiées permettent à un attaquant de déverrouiller toutes les pièces d’un hôtel à l’aide d’une seule paire de cartes-clés falsifiées. Plus de trois millions de chambres d’hôtel dans 131 pays sont touchées. »

Le constructeur Dormakaba a travaillé sur une mise à jour de sécurité destinée à combler les failles en question. La mise à jour a été déployée en novembre 2023, soit plus d’un an après la découverte du problème. Cependant, en mars dernier, seuls 36% des serrures concernées avaient été mises à jour ou remplacées en raison de leur âge. Cela signifie qu’il reste encore presque deux millions de serrures concernées à travers le monde.

Un problème qui devrait malheureusement durer

Cela peut s’expliquer de différentes manières : un manque d’information, pour commencer. Ensuite, la démarche de mise à jour est fastidieuse, car il faut rééditer toutes les cartes-clés, modifier les logiciels de réception et les codeurs de carte. Cela peut aussi toucher d’autres systèmes qui utilisent les mêmes cartes, comme les parkings ou les ascenseurs.

Il peut également y avoir un coût financier important si les serrures, trop vétustes, nécessitent un changement pur et simple. « Il faudra une longue période pour que la majorité des hôtels soient modernisés », estiment les professionnels. C’est pourquoi la faille n’est que vaguement divulguée, pour sensibiliser le secteur hôtelier et limiter les risques qu’elle soit exploitée. Mais il faudra probablement des années avant que le problème soit définitivement réglé. Pour relativiser la situation, on peut souligner que cela fait 36 ans que Dormakaba a commencé à commercialiser des serrures comportant ce problème : d’aucuns diront que nous n’en sommes plus à quelques années près… En espérant qu’aucun hacker malveillant ne parvienne à trouver comment exploiter la faille.