Lorsque vous découvrez que votre verrou de vélo en Kryptonite peut être ouvert avec un stylo Bic ou qu’un bug en Java permet à des sites Web malveillants de s’emparer de votre ordinateur, le correctif est entre vos mains: vous envoyez votre verrou pour le remplacer ou désactivez Java dans votre navigateur.
Mais depuis qu’un pirate informatique a démontré l’été dernier que les serrures à clé protégeant quatre millions de portes de chambres d’hôtel dans le monde pouvaient être ouvertes sans effort en quelques secondes avec un appareil numérique maison coûtant moins de 50 $, se protéger de ceux qui exploiteraient cette faille n’a pas été si simple. Il faut compter sur les hôtels, et non sur les consommateurs, pour gérer leurs systèmes de sécurité vulnérables. Et Onity, le fabricant de ces verrous ultra-courants, a d’abord minimisé la menace, supprimé les informations sur le piratage de son site Web et facture à ses clients hôteliers le matériel de remplacement nécessaire à une solution complète.
Maintenant, il est clair que l’attaque n’est plus théorique: au moins un groupe d’hôtels de Houston a été frappé par une série d’introductions par effraction en septembre qui ont utilisé le dispositif d’ouverture de la serrure pour voler des objets de valeur dans les chambres des clients, comme je l’ai rapporté lundi.
Depuis que j’ai commencé à creuser dans cette histoire en juillet, les lecteurs me demandent ce qu’ils peuvent faire pour se protéger et protéger leurs biens lorsqu’ils séjournent dans un hôtel en utilisant les serrures d’Onity. J’ai donc demandé conseil à Cody Brocious, le pirate informatique qui a le premier mis en lumière cette vulnérabilité, ainsi qu’à d’autres qui ont suivi ce gâchis de sécurité. Voici leurs recommandations.
1. Demandez à l’hôtel s’ils ont mis en œuvre le correctif d’Onity. Onity propose à ses clients des bouchons en plastique gratuits pour couvrir le port vulnérable au bas de leurs serrures, qui ne peuvent être retirés qu’en ouvrant le boîtier des serrures avec un tournevis. Et pour les hôtels prêts à débourser pour une solution complète, Onity propose également des circuits imprimés de remplacement qui ne sont pas vulnérables à l’attaque de Brocious. On ne sait pas, cependant, combien d’hôtels ont mis en place l’un ou l’autre de ces correctifs – ou sont même au courant d’eux. Appeler la direction de l’hôtel avant votre séjour pour lui demander quelles serrures elles utilisent et si elles ont mis en œuvre les nouvelles mesures d’Onity vous donnera une idée de leur sécurité et les aidera à sécuriser leurs serrures si ce n’est déjà le cas.
2. Utilisez le boulon de porte ou la chaîne. C’est l’évidence: le verrouillage du boulon au–dessus de la serrure de votre porte rend l’attaque des serrures d’Onity sans importance – du moins lorsque vous êtes dans la pièce. Ne dépend cependant pas uniquement du pêne dormant, qui dans de nombreux cas fait partie du mécanisme de verrouillage de la carte-clé et peut être ouvert avec l’outil de piratage de Brocious.
3. Utilisez le coffre-fort de la chambre. Si votre chambre dispose d’un coffre-fort, mettez-y vos objets de valeur lorsque vous partez. Bien que Brocious avertit que ces coffres-forts peuvent avoir leurs propres failles de sécurité – certains sont également construits par Onity – ils fourniraient probablement suffisamment de barrière à tout voleur pour qu’il passe à la pièce voisine.
4. Utilisez du ruban adhésif inviolable. Il peut être tentant de coller une liasse de chewing-gum dans le port au fond des écluses d’Onity. Mais Brocious suggère une méthode moins dommageable pour empêcher les voleurs d’accéder aux entrailles de l’écluse: Apportez votre propre rouleau de ruban adhésif inviolable comme celui-ci et laissez une bande au bas de la serrure. Cela n’empêchera pas quelqu’un d’utiliser le port, mais cela vous donnera un avertissement si quelqu’un l’a fait. Les voleurs pourraient préférer passer à la prochaine cible plutôt que de risquer de laisser derrière eux un indice qui pourrait alerter un hôtel en cas d’effraction.
5. Laissez vos objets de valeur à la réception ou ne voyagez pas avec eux. Todd Seiders, directeur de la gestion des risques de la société d’assurance hôtelière Petra Risk Solutions, a suivi l’imbroglio d’Onity depuis le début. Mais il dit qu’il est encore beaucoup plus probable que le personnel d’entretien d’un hôtel vole vos objets de valeur qu’un pirate informatique. Cela signifie que chaque chambre d’hôtel doit être traitée comme non sécurisée, quels que soient les verrous qu’elle utilise. Demandez donc à la réception de mettre cette Rolex ou cet héritage familial dans leur coffre-fort. Ou mieux encore, laissez-le à la maison.
—
Suivez-moi sur Twitter et consultez mon nouveau livre, Cette Machine Tue les Secrets: Comment les WikiLeakers, les Cypherpunks et les Hacktivistes Visent à Libérer les Informations du Monde.
Voir aussi: