Des chercheurs en cybersécurité ont démontré comment il était possible de pirater le système de verrouillage par code des casiers et les ouvrir facilement. Salle de sport, établissement scolaire, gare… Tous sont concernés.

Une salle de sport, une piscine, un parc d'attraction, un lycée, une gare… Tous ces endroits ont un point commun : ils proposent des casiers dans lesquels vous pouvez placer vos affaires. Si certains ont encore recours à la bonne vieille clé ou au cadenas mécanique, de plus en plus sont équipés d'un verrou numérique. Comme le PIN de votre smartphone, l'idée est d'entrer un code de votre choix pour fermer puis ouvrir la porte du casier. Une manière de rendre le vol de son contenu plus difficile.

Malheureusement, ça fait longtemps que les pirates se font une joie de s'attaquer à tous les objets un tant soit peu électroniques. Nos ampoules connectées ne sont pas à l'abri, nos imprimantes peuvent être infiltrées et, vous l'aurez compris, les cadenas numériques ne sont pas une exception à la règle. Lors d'une conférence, deux chercheurs en cybersécurité ont démontré comment pirater un seul de ces verrous permet d'ouvrir tous les autres du même modèle.

À partir d'un verrou numérique, il est possible de créer un passe-partout ouvrant presque tous les autres

Ils se sont concentrés sur deux fabricants majeurs : Digilock et Schulte-Schlagbaum. Après s'être procurés des modèles d'occasion, ils ont pu en extraire les données, ce qui est à la portée de bien des hackers selon eux. Parmi les informations récoltées, on trouve les codes PIN définis par les utilisateurs, la clé de programmation et la clé de gestion (ou clé administrative). En copiant l'identifiant de cette dernière sur un appareil comme le Flipper Zero, le pirate peut s'en servir pour ouvrir tous les autres cadenas du même type.

Lire aussi – Les chambres de milliers d’hôtels peuvent être déverrouillées avec de fausses cartes électroniques

Informée de la découverte, Digilock dit avoir ajouté une couche de protection supplémentaire sur ses produits. L'entreprise rassure en affirmant que les vulnérabilités dont il est question “nécessitent une expertise, du temps et un accès importants au verrou d'un site spécifique et à la clé administrative associée“. Elle rappelle aussi que “si une clé administrative disparaît, il est très facile de reprogrammer le verrou et de le supprimer du système, garantissant ainsi que tout risque de sécurité potentiel est rapidement atténué“. Schulte-Schlagbaum n'a pour l'instant fait aucun commentaire.

Source : Wired