16.08.2024
Prise de position et corrections de Schulte-Schlagbaum AG concernant l'article « Piratage des casiers électroniques dans les hôtels et autres : difficile d'y échapper » sur heise.de
- Le 14/08/2024, heise.de a publié un article expliquant que deux célèbres pirates de matériel électronique avaient analysé différentes serrures de casiers de deux fabricants pour voir si elles présentaient des failles ; parmi elles, des serrures de Schulte-Schlagbaum AG (SAG).
- Cependant, certaines des conclusions clés de l'article sont fausses en ce qui concerne les serrures SAG.
- À travers cette prise de position, SAG souhaite répondre activement à cet article et corriger les déclarations fausses ou en partie inexactes qu'il contient au sujet des failles de sécurité.
- Les failles concernent uniquement certaines configurations de casiers spécifiques de chez SAG.
Seules des serrures des fabricants Digilock et SAG ont été testées. L'article indique expressément que les failles de sécurité découvertes ne concernent pas seulement ces deux entreprises, mais aussi de nombreux autres fabricants de systèmes de fermeture électronique.
Contrairement au deuxième fabricant testé par les pirates, l'américain Digilock, SAG n'a malheureusement pas eu l'occasion de s'exprimer à l'avance. Personne n'a pris contact avec nous. L'entreprise aurait fortement apprécié d'avoir cette possibilité avant la publication de l'article afin de pouvoir rectifier certains points.
Dans le portefeuille de SAG, les serrures testées sont celles de la série SAFE-O-TRONIC® access LS, gamme 100, 300 et 400.
Le scénario d'attaque décrit dans l'article implique que le pirate s'empare d'une serrure. Pour parvenir à ses fins, il doit la retirer et la démonter. Le pirate doit accéder au circuit imprimé. Il ne pourra donc pas mener à bien son attaque sans laisser de traces. Néanmoins, le fait de pouvoir lire à partir d'une serrure dérobée des informations de sécurité concernant d'autres serrures de la même installation est un point critique.
Déclaration et corrections concernant les critiques soulevées par l'article sur heise
L'article parle d'une « difficulté à effectuer des mises à jour ». On peut y lire : « C'est d'autant plus fatal que les failles trouvées peuvent être difficiles à résoudre. » Pour la quasi-totalité des serrures SAG, cette affirmation est fausse. Seule la série la moins chère (la série 100) ne peut pas recevoir directement de mise à jour du firmware, mais doit être démontée ; c'est précisément ce que les pirates entendent par « difficulté à effectuer des mises à jour ». Il est très facile de mettre à jour toutes les autres serrures SAG grâce aux actualisations du firmware.
Plus loin, il est dit que l'on peut lire l'identifiant de la clé d'administration dans l'EEPROM. C'est peut-être vrai pour les serrures d'autres fabricants, mais une telle attaque n'est possible avec aucune serrure SAG. Chez SAG, les MasterKeys (qui correspondent aux clés d'administration de l'article) dépendent toujours des données du transpondeur. Cela ne nécessite aucun stockage d'informations du transpondeur dans la serrure. Ainsi, il est impossible de lire les informations nécessaires à partir de la serrure en question.
L'affirmation selon laquelle les UID du journal sont suffisants pour cloner une carte est également fausse en ce qui concerne les serrures SAG. Certes, il est possible de cloner un UID à partir du journal et de créer ainsi une carte qui aura le même UID. Cependant, dans ce que l'on appelle le mode données, l'UID du journal ne suffit pas pour ouvrir une autre serrure. Pour cela, il faut d'autres données qui ne se trouvent pas dans le journal. En revanche, en mode numéro de série, l'UID du journal serait effectivement suffisant pour le scénario décrit ; SAG recommande donc à ses clients de passer leurs installations éventuellement concernées du mode numéro de série au mode données.
L'article affirme également que l'EEPROM contient l'UID utilisé et le code PIN. Il est vrai que l'UID du transpondeur ou le code PIN qui a permis de verrouiller la serrure est enregistré dans l'EEPROM. Cependant, lorsque les utilisateurs peuvent choisir leur casier, les informations ne sont enregistrées que lorsque la serrure est verrouillée. Comme une serrure fermée ne peut pas être démontée, un éventuel pirate ne pourrait lire que le code/l'UID qu'il a lui-même utilisé pour fermer la serrure. Si les casiers sont attribués de façon permanente à un utilisateur donné, les UID ne sont enregistrés qu'en mode numéro de série. En mode groupe de fermeture ou numéro de badge, l'attaque n'est pas aussi facile.
Mesures prises par SAG
SAG prend au sérieux toutes les failles de sécurité et va examiner tous les produits afin de les rendre encore plus sûrs.
L'entreprise travaille déjà sur une mise à jour pour ses serrures SAFE-O-TRONIC® access, qui sera disponible avec la prochaine version du firmware
Cette mise à jour va rendre la lecture des données de l'EEPROM ainsi que la lecture du firmware beaucoup plus difficile, voire impossible. Le scénario d'attaque décrit, déjà très complexe, s'en trouvera encore entravé, si ce n'est impossible.
Conclusion et mesures à prendre
Une attaque telle que celle décrite dans l'article de heise nécessite toujours que le pirate travaille de façon approfondie sur la serrure. Pour cela, il est nécessaire que celle-ci soit complètement démontée. Généralement, afin d'y parvenir, le pirate doit donc voler une serrure. En pratique, cela signifie qu'une telle attaque est possible, mais au prix d'efforts considérables, et qu'elle ne peut réussir que pour l'installation dans laquelle la serrure a été dérobée.
Dans l'univers SAG, seules les installations RFID/transpondeur fonctionnant en mode numéro de série avec des casiers à affectation fixe sont concernées. Ces casiers peuvent facilement être passés en mode données, ce qui est d'ailleurs la configuration recommandée par SAG.
De plus, une attaque en passant par les fonctions maîtres n'est efficace que pour les serrures de casiers SAG qui fonctionnent avec un code, pour lesquelles SAG recommande de faire attention au vol de serrures. Dans ce cas, il faudrait rapidement reprogrammer les serrures, ce qui compliquerait énormément une attaque potentielle.
Ces deux failles de sécurité potentielles seront corrigées lors de la prochaine mise à jour du firmware.