Nous publions aujourd’hui un post différent sur le blog. Il s’agit d’une anecdote singulière dont on pense qu’elle permet de s’interroger sur certains aspects de la sécurité et en tirer certains enseignements.

En 2012, l’analyste de la sécurité Cody Brocious a détecté une défaillance sur les serrures électroniques de la marque Onity (installées sur les portes de nombreux hôtels du monde entier) et a créé un petit dispositif portable grâce auquel on parvenait à ouvrir 10 millions de portes d’hôtels.

La trouvaille a été communiquée à l’entreprise mais a aussi été diffusée sur des forums spécialisés de piratage (hacking) et de sécurité informatique, et certains médias (dont la revue Forbes avec l’article du journaliste Andy Greenberg) s’en sont fait l’écho. Malgré cela et malgré les multiples démonstrations de différents dispositifs (de plus en plus petits) répliqués sur Internet et capables de mettre à profit cette défaillance, l’entreprise a tardé à réagir et beaucoup d’hôtels n’ont pas voulu changer les serrures devenues peu sûres.

Aaron Cashatt, un jeune d’Arizona qui avait des problèmes de drogues, un petit casier judiciaire et des connaissances en informatique et électronique, a vu une émission de télévision où l’on expliquait le système de piratage des serrures de chambres d’hôtel. Au cours de l’été 2012, moyennant un investissement d’environ 50 dollars, il a su répliquer le dispositif et l’a testé dans un hôtel où il a dérobé quelques serviettes de bain. Constatant son efficacité, il s’est mis à peaufiner ses coups en dérobant des objets de plus en plus coûteux (d’abord des téléviseurs et autres équipements dont disposaient les chambres puis des biens personnels appartenant aux hôtes), tout en perfectionnant l’outil qui lui permettait d’accéder aux chambres sans laisser de trace. Pendant plus d’un an, les forces de police d’Arizona et d’autres États voisins, dont l’Ohio et la Californie, ont poursuivi un fantôme qui se glissait dans les chambres d’hôtels sans laisser la moindre trace. Et malgré son casier judiciaire (il avait déjà été arrêté et avait purgé une courte peine d’emprisonnement pour des crimes précédents), il faudra attendre l’été 2013 pour qu’on l’associe à près d’une centaine de crimes commis sur cette période et qu’il soit définitivement interpelé, condamné et incarcéré pour ces vols perpétrés dans les hôtels.

Greenberg a publié l’histoire de Cashatt dans la revue Wired au cours de l’été 2017 et, bien que dépourvu de connaissances informatiques, il a su répliquer l’outil conçu par Brocious. Il a essayé d’utiliser le dispositif dans quatre hôtels (pour ne pas commettre de délit, il y prenait une chambre et tentait d’en fracturer la porte) et, étonnamment, cinq ans après la détection de la défaillance, le dispositif a fonctionné dans l’une des chambres.

Cette anecdote permet donc de s’interroger, entre autres, sur certains aspects :

• Le grand nombre d’acteurs ayant des responsabilités en matière de sécurité (en l’occurrence la police, les hôtels, les fabricants de serrures… et les pirates informatiques qui détectent les défaillances).
• L’importance d’implanter des mesures après avoir détecté les défaillances. Cashatt a exploité pendant toute une année la défaillance décelée par Brocious… et Greenberg a démontré que cinq ans après, elle constituait encore un risque pour certains établissements qui n’avaient ni changé ni mis à jour leurs serrures.
• La nécessité de suivre les informations liées à la sécurité. Bien que la défaillance ait été communiquée publiquement et diffusée par les médias, les forces de police n’ont détecté le mode opératoire de Cashatt que lorsque ce dernier a été arrêté et qu’on a trouvé sur lui les dispositifs qu’il utilisait pour entrer dans les chambres.

_____
Aquest apunt en català / Esta entrada en español / This post in English