Hacker une serrure électronique d'une chambre d'hôtel

C’est le défi relevé par 4 Hackers éthiques !

Un collectif de White Hacker révèle une série de failles de sécurité majeures affectant les serrures électroniques RFID Saflok de dormakaba, largement utilisées dans les hôtels et les complexes résidentiels.

Ces vulnérabilités, découvertes et rendues publiques par un groupe de chercheurs comprenant Lennert Wouters, Ian Carroll et d’autres, permettent à un pirate de déverrouiller toutes les chambres d’un hôtel en utilisant une simple paire de cartes-clés falsifiées. Plus de trois millions de serrures dans 131 pays sont touchées par ces failles, avec des impacts significatifs sur la sécurité des établissements et de leurs occupants.

Les serrures Saflok, y compris les modèles MT, Quantum, RT, Saffire et Confidant, sont affectées, ce qui soulève des préoccupations sérieuses pour les hôtels et les complexes multifamiliaux utilisant ces systèmes. Bien que dormakaba ait entrepris des actions pour remédier à ces failles après leur signalement en 2022, la mise à niveau des serrures et des systèmes associés reste un processus complexe et laborieux. De plus, il est difficile de déterminer visuellement si une serrure a été mise à jour pour corriger ces vulnérabilités, ce qui complique la tâche des gestionnaires d’établissements et des utilisateurs pour garantir leur sécurité.

L’attaque exploitant ces failles ne nécessite qu’une seule carte-clé prélevée sur la propriété, ce qui la rend d’autant plus préoccupante. La création de cartes-clés falsifiées peut être réalisée avec des outils commerciaux accessibles, ce qui signifie qu’un accès non autorisé aux chambres est facilement réalisable pour les attaquants disposant de connaissances techniques minimales.

Bien que dormakaba ait commencé à mettre à niveau les serrures en novembre 2023, seulement environ un tiers des serrures touchées ont été mises à jour ou remplacées à ce jour, soulignant les défis persistants pour garantir la sécurité des établissements concernés. En attendant, il est recommandé aux utilisateurs de rester vigilants et de rechercher des signes indiquant si les serrures ont été mises à niveau, tout en prenant des mesures supplémentaires pour renforcer la sécurité des locaux, notamment en utilisant des dispositifs de verrouillage supplémentaires.

La page en anglais : https://unsaflok.com/

Pour en savoir plus :

Toute l’actualité de la cybersécurité

Lire nos articles sur sécuriser sa maison (Box et objets connectés)

Plus d'articles :

🚨 Cyberattaque contre le CROUS et plusieurs plateformes stratégiques utilisées par les étudiants en France

25 juin 2025

Le 10 juin 2025, une cyberattaque d’une ampleur inédite a visé les services numériques liés à la vie étudiante en France. Cette offensive a permis à des pirates informatiques d’accéder aux données personnelles de plusieurs dizaines de milliers d’étudiants, à travers des plateformes utilisées quotidiennement par les élèves, leurs familles et les services administratifs de l’État.

Rançons, extorsions, sabotage : le Business des Hackers

Rançons, extorsions : le Business des Hackers. Une reportage AMP

17 juin 2025

Ce reportage dévoile un monde parallèle où les hackers ne sont plus des solitaires masqués, mais les chefs d’orchestre d’une économie criminelle ultra-structurée. Rançongiciels, extorsions de données. Le cybercrime comme un véritable business model

Doxing : Quand la Vie Privée des Adolescents est Menacée sur Internet

17 juin 2025

L’utilisation croissante d’internet chez les adolescents expose leur vie privée à de nouveaux dangers, parmi lesquels le doxing est l’un des plus préoccupants. Ce phénomène, qui consiste à publier des informations personnelles d’une personne en ligne sans son consentement

Jeux de société : Break The Code de IELLO

16 juin 2025

Sensibiliser le grand public à la cybersécurité est devenu un enjeu crucial. Et si la solution passait par… le jeu ? Break The Code : une introduction ludique aux logiques fondamentales de la cybersécurité.

leHack 2025 – 27 au 29 juin à la Cité des Sciences de Paris

16 juin 2025

Du 27 au 29 juin, la Cité des Sciences de Paris accueillera LeHack 2025, l’un des plus grands rassemblements européens autour du hacking éthique, de la cybersécurité et de la culture numérique underground.

Take It Down Act : la loi contre le revenge porn et les deepfakes pornographiques.

2 juin 2025

« Take It Down Act ». Cette législation marque un tournant décisif dans la lutte contre la diffusion non consentie de contenus sexuels, notamment ceux générés artificiellement par intelligence artificielle (deepfakes).