Vous êtes ici : Accueil > Meilleur antivirus > Peut-on réellement faire confiance aux coffres forts des hôtels?

Peut-on réellement faire confiance aux coffres forts des hôtels?

Peut-on réellement faire confiance aux coffres forts des hôtels?

JUILLET/AOÛT : c’est le début des vacances pour un grand nombre de familles. DANS LA VALISE : maillot de bain, crème solaire, vêtements, trousse de toilette… enfin tout le topo que vous avez déjà listé et relisté fin juin. CHECK : l’itinéraire à prendre, les billets ou le plein d’essence, la réservation du camping ou de l’hôtel etc. NIVEAU SECURITE : porte et volets fermés, un double des clés à un proche, documents importants/objets de luxe/portables et ordinateurs sur soi mais pas de souci il y aura un coffre-fort à l’hôtel pour les stocker. Mais sont-ils vraiment fiables ?

Pour répondre à cette question le G Data SecurityLabs a testé un coffre-fort d’entrée de gamme pouvant être vendu sur le marché sous diverses marques.

G Data VS. Coffre-fort

logo G Data

D’un côté, on a une équipe d’experts qui étudient tous les sujets relatifs à la sécurité informatique. Réseaux sociaux, ordinateurs, e-mails, terminaux mobiles, appareils électriques… tous sont passés au crible pour détecter le moindre danger. S’il y en a un, elle vous en informe immédiatement afin que vous soyez plus à même de les éviter. Bien évidemment il s’agit de G Data SecurityLabs. Ce dernier fait partie intégrante de la fameuse entité allemande G Data, qui n’est plus à présenter.

De l’autre côté, l’adversaire est un coffre-fort typique de ceux utilisés par les responsables d’hôtels. Totalement indépendant grâce à l’usage de piles, il peut s’ouvrir de 3 manières différentes. Par le particulier, soit en utilisant un code numérique, soit en insérant une carte bancaire ; et par le professionnel via une clé de secours. Son fonctionnement ? Rien de plus simple que 3 parties qui sont liées entre-elles : le coffre en lui-même, le mécanisme de saisie du code et de lecture de la carte bancaire, et le système d’ouverture.

Aperçu d'un coffre-fort

La première vague d'attaque

La première façon qui vient à l’esprit lorsque l’on évoque ‘effraction d’un coffre-fort’ est le crochetage de la serrure. Bien que la clé de serrure soit à première vue complexe avec ses 4 pans, le constructeur n’a pas approfondi sa démarche. En effet, le cache de la clé est accessible en dévissant 2 petites vis et seul 1 pan sur 4 est utilisé dans le process. G Data SecurityLabs a ainsi testé de crocheter la serrure et y est parvenu en moins de 15 secondes…

Deuxième solution évidente pour forcer un coffre-fort : le code maître. Celui-ci permet à n’importe qui de configurer le coffre et d’accéder à l’historique d’utilisation. De là il pourra ouvrir la porte sans qu’il y ait d’effraction. Vous me direz que ce code n’est connu que de l’acheteur ; eh bien non. G Data affirme qu’il est inscrit noir sur blanc dans la notice lisible par tout le monde... On rappelle donc qu’il est INDISPENSABLE de changer un code par défaut, quel que soit l’appareil, afin de garantir une meilleure sécurité.

La troisième possibilité, plus complexe que les 2 autres, consiste à simuler une ouverture de porte via un court-circuit. Voici deux images qui illustrent une ouverture normale de la porte.

Processus ouverture de la porte

On aperçoit qu’une pression est faite sur le connecteur vert (en rouge). Par hypothèse, un court-circuit sur les soudures du connecteur simulerait alors l’ouverture de la porte. G Data SecurityLabs a donc testé en insérant un fil électrique dans un trou de vis (en orange). Effectivement, au bout de 30 minutes le court-circuit se fit et la porte s’ouvrit… Certes un voleur n’a pas 30 minutes devant lui, mais il est au courant de cette technique et disposera d’un outil spécial. Le conseil donné par la firme allemande s’adresse davantage aux fabricants : ils devraient déplacer le cache de la clé de secours afin que les trous de vis ne soient plus à côté du connecteur.

Les autres process d'attaque

Comme on l’a évoqué ci-dessous le coffre-fort peut être ouvert de 3 façons. La première vague d’attaque a montré que 2 d’entre-elles pouvaient être aisément forcées. Qu’en est-il de la 3ème ?

Celle-ci passe par l’utilisation d’une carte bancaire devant être détectée par un lecteur de carte magnétique afin qu’il y ait ouverture/fermeture de la porte. Jusque-là aucune faille n’est observable ; sauf si le voleur a votre CB et là vous n’avez plus aucune chance… Toutefois pas de panique. Quel est le pourcentage qu’il puisse l’associer au bon coffre-fort ? On va dire 6% pour les 3/4 membres du personnel pouvant approcher votre CB au moment du paiement.

Les 94% autres représentent alors des personnes lambdas qui convoitent votre ‘trésor’ mais qui ne peuvent ni avoir la main sur votre CB, ni sur le coffre. Sauf si tout est planifié mais on n’est pas dans un film hollywoodien… G Data SecurityLabs a quand même imaginé le pire et s’est demandé comment ils pourraient faire pour forcer le coffre. Eh bien en créant un skimmer via une carte Arduino Uno (mécanisme piraté identique aux lecteurs de carte magnétique) ; en l’insérant à l’intérieur du coffre (cf. image ci-dessous) et en le laissant faire son travail… Très vite il pourra voler des informations contenant le numéro de la carte, le nom de son propriétaire et la date d’expiration.

Processus piraté 'skimmer'

Conclusion

Suite à une batterie de tests, G Data SecurityLabs a conclu que le niveau de sécurité du coffre-fort était faible. En effet, il est possible de le forcer aisément de différentes façons. Toutefois si vous souhaitez quand même y stocker vos affaires, on vous conseille d’être très prudent et de ne surtout pas utiliser votre carte bancaire comme ‘clé’. Qui sait le coffre aurait pu être trafiqué avant votre arrivée…

Source: G Data

Pas de commentaires
Soyez le premier à déposer un commentaire

Laisser un commentaire pour l'article Peut-on réellement faire confiance aux coffres forts des hôtels?

Merci de rester correct et de respecter les différents intervenants.