Voilà comment des hackers peuvent prendre le contrôle de votre chambre d’hôtel et ce que ça peut vous coûter

Atlantico : Dans le but de démontrer les failles de sécurité de l'hôtel Saint Régis à Shenzhen, Jesus Molina, un hacker professionnel espagnol, a piraté l'intégralité des chambres d'hôtel par le biais du réseau commun, de la lumière occupée/libre sur les portes jusqu'aux télévisions, en passant par les lumières. Comment s'y prend-on pour pirater le réseau d'un hôtel ? Est-ce aussi simple que cela ? Pourquoi certains hôtels installent-ils donc un réseau commun pour tous leurs appareils, clients et employés ?

Nicolas Arpagian : Il s’agit de procéder comme le ferait un informaticien chargé de l’audit du système informatique : identifier les architectures techniques employées, les logiciels installés, le mode d’administration du système d’information ainsi que les modes d’identification de chaque utilisateur légitime. Un hôtel est typiquement le type d’organisation qui ne va pas chercher à développer ses propres solutions informatiques mais piochera dans des offres largement disponibles sur le marché. En les interconnectant entre elles de manière très empirique : au fur et à mesure que les besoins apparaissent et sans faire de la sécurité a priori le critère principal. Bien d'autres seront prioritaires : faire des économies, optimiser la gestion, satisfaire un besoin exprimé par une direction métier....

Des pirates peuvent donc rapidement se trouver en terrain connu, avec des équipements informatiques très répandus sur lesquels ils auront pu se faire la main. Naturellement un hôtel indépendant ne disposera pas des mêmes ressources techniques qu’un établissement d’une chaîne internationale bénéficiant de l’appui, des moyens et des procédures d’une direction de la sécurité des systèmes d’information. Avec des règles établies et contrôlées par une direction de la gestion des risques.

Quel est l'intérêt des hackers à pirater l'intégralité du réseau d'un hôtel ?

Un hôtel est une entreprise qui a besoin de soigner sa réputation et d’inspirer confiance à ses clients et prospects. Qui doivent se sentir en sécurité durant leur séjour. Les chambres sont des endroits où sont réunis des biens à haute valeur ajoutée (passeports & pièces d'identité, téléphone & ordinateurs, argent, cartes de crédit, bijoux, documents commerciaux pour les professionnels en déplacement…). En piratant un type de serrure vous pouvez accéder à toutes les chambres, qui sont autant de cibles possibles.

Ainsi, on peut considérer que les hôtels constituent une cible de choix pour des opérations de chantage ou d’extorsion de la part de pirates qui pourraient monnayer la mise à disposition de ces informations auprès d’organisations criminelles. Ou menacer de créer des dysfonctionnements propres à mettre en danger les visiteurs ou en tous cas à perturber grandement leur séjour. Les hôteliers redoutent également les atteintes à leur e-réputation si les maîtres-chanteurs rendaient publiques sur le Net les informations relatives aux défaillances de leurs systèmes d’information. Enfin, la prise de contrôle des systèmes de sécurité peut être utile si on souhaite circuler ponctuellement sans contrainte dans l’établissement pour y cambrioler les résidents ou pénétrer dans les chambres à leur insu.

Ce cas est-il unique ou d'autres hôtels peuvent-ils être aisément piratés ? Quelle est la propension d'hôtels à fonctionner de la sorte ?

Il existe des milliers de chaînes ou de réseaux d’hôtels dans le monde. Et au final peu de fournisseurs de solutions de sécurité, comme par exemple celles qui équipent les clés électroniques qui permettent d’accéder aux chambres. Par exemple, en juillet 2012 un développeur a communiqué sur la manière dont il était parvenu à pirater à plusieurs reprises un modèle de serrure fabriqué par la société Onity, un des poids lourds du secteur. Ce type de fermeture protège des millions de chambres d’hôtels à travers la planète. En ayant réussi la prise de contrôle d’une serrure vous pouvez donc rendre vulnérables un très grand nombre d’hôtels. Et vous pouvez commercialiser votre « découverte » dans de nombreux pays en systématisant votre offre de chantage. 

Quel système les hôtels devraient-ils adopter pour protéger au mieux leur réseau et donc leurs clients ?

Il s’agit de faire de la sécurité informatique de ses infrastructures propres, qui servent au bon fonctionnement de l’établissement, et de celles ouvertes aux résidents (wifi public, ordinateurs en libre-service…) un axe prioritaire de la stratégie de l’entreprise en matière de systèmes d’information. Avec des réseaux dédiés, des sections et des opérations attribuées à certaines personnes précisément identifiées et dûment autorisées et une classification des informations en fonction de leur caractère stratégique avec des processus de protection adaptés. Un audit régulier complété par tests de pénétration doivent être régulièrement effectués. La veille sur le système d’information avec une identification des comportements inhabituels doit être organisée. Avec des procédures d’alerte et de réponse, mis à jour et connu de tous les collaborateurs concernés.

Les clients ont-ils conscience du danger ? Comment peuvent-ils se prémunir de cela en l'état actuel des choses ?

Lorsque des clients se rendent dans un hôtel, ils ne veulent pas - et c'est bien normal - avoir à se préoccuper des questions de sécurité : qu’il s’agisse de celle de l’ascenseur, du réseau électrique ou de l’informatique. Et leurs interlocuteurs immédiats : concierge, personnels d’accueil…ne sont généralement pas formés pour leur apporter des éléments techniques de réponse. Chacun doit donc se tenir à une démarche personnelle stricte s’il veut prendre en charge sa propre sécurité numérique : ne pas laisser de smartphone ou d’ordinateur portable dans sa chambre, même dans le coffre de celle-ci et éviter le réseau wi-fi de l’hôtel et l’ordinateur du business center pour se connecter à des messageries professionnelles ou sur ses interfaces bancaires.