L'actualité internationale récente a mis en avant l'usage des clés électroniques dans les grands hôtels et la possibilité de faire parler celles-ci pour savoir qui était entré, sorti, quand, ou encore combien de temps la porte était restée ouverte. L'affaire de la suite 2806 de l'hôtel Sofitel de New-York occupée par Dominique Strauss-Kahn est dans toutes les têtes... Mais ces systèmes électroniques sont-ils inviolables et peuvent-ils constituer des preuves irrévocables utilisées par la justice ?

La réponse n'est pas si claire...


Les clients ayant de forts besoins de sécurité viennent avec leurs propres services de sécurité

Tous les responsables de grands palaces le savent bien. Les clients ayant besoin d'une sécurité particulièrement forte arrivent avec leurs propres services et ne se reposent pas sur les services de l'hôtel. Un couloir entier peut être réservé, voire un étage ou plus. Les accès à ces espaces sont contrôlés par des badges spécifiques, mais surtout la sécurité est assurée par un service de gardiennage classique ou renforcé.

Certains clients particuliers font également mettre en œuvre leurs propres moyens de communications téléphoniques, par exemple par satellite.

Ces clients paient sans regarder et sans compter...

Les clés électroniques des hôtels : RFID ou pistes magnétiques, toutes clonables

Il existe deux familles de clés électroniques. Elles ne sont en général jamais protégées, ni l'une ni l'autre par des mécanismes cryptographiques. Il est toutefois d'usage de changer les codes de ces cartes pour chaque client. Le client de la veille n'aura plus d'accès le lendemain : voir la carte reproduite ci-dessous. Pour autant, la sécurité est-elle assurée ?

Les clés RFID peuvent aisément être clonées à distance. Il suffit de connaître la fréquence radio et d'approcher un lecteur avec une antenne pour lire la carte, puis en produire une autre parfaitement identique. Un tel lecteur tient aisément sous une veste, il suffit de s'approcher de la personne ayant la clé à copier ...

La clé à piste magnétique est un peu plus difficile à cloner, car elle demande à être introduite dans un lecteur. Toutefois, on peut aisément imaginer qu'un "mouchard" soit installé entre la serrure de la porte et le système central de contrôle. Les câbles passent parfois dans des faux-plafonds et il existe parfois des concentrateurs d'étages. "L'écoute" des signaux transmis sur ces câbles permet de refaire une carte à l'identique. Bref, les scénarios d'interception des informations et de clonage de cartes par des "services spécialisés" n'ont rien d'invraisemblable.

Nous nous gardons cependant d'émettre la moindre hypothèse dans le cas de l'affaire mentionnée ci-dessus ....

On comprend bien que ces systèmes de fermetures de portes d'hôtel sont pratiques, mais ne présentent qu'un niveau très limité de sécurité et ne peuvent constituer des preuves irréfutables d'accès par une personne donnée à une chambre. Les clés peuvent avoir été clonées, et utilisées par d'autres... La presse devrait parfois se renseigner avant d'écrire ...

Carte à piste magnétique du Caesar Palace de Las Vegas
   
Le code est changé pour chaque client. Mais la piste magnétique peut être reproduite par n'importe quel étudiant débutant en informatique ...



Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143905
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI