Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Un hôtel est typiquement le type d’organisation qui ne va pas chercher à développer ses propres solutions informatiques.

C'est arrivé loin de chez vous

Voilà comment des hackers peuvent prendre le contrôle de votre chambre d’hôtel et ce que ça peut vous coûter

Vous avez l'habitude de laisser votre passeport, votre ordinateur ou de l'argent de vos chambres d'hôtel ? Attention, certains parviennent déjà à pirater leurs serrures électroniques...

Nicolas Arpagian

Nicolas Arpagian

Nicolas Arpagian est VP Stratégie et Affaires publiques d’Orange Cyberdefense (Groupe Orange). Et enseignant à l’Ecole Nationale Supérieure de la Police (ENSP).

Nicolas est administrateur de la plateforme Cybermalveillance.gouv.fr et membre du Conseil d’orientation de l’Institut Diderot. 

Il est l’auteur d’une douzaine d’ouvrages, parmi lesquels « La Cybersécurité » aux Presses Universitaires de France (PUF), « L’Etat, la Peur et le Citoyen » (Vuibert) ou « Liberté, Egalité… Sécurité » (Dalloz).

Twitter : @cyberguerre

Voir la bio »

Atlantico : Dans le but de démontrer les failles de sécurité de l'hôtel Saint Régis à Shenzhen, Jesus Molina, un hacker professionnel espagnol, a piraté l'intégralité des chambres d'hôtel par le biais du réseau commun, de la lumière occupée/libre sur les portes jusqu'aux télévisions, en passant par les lumières. Comment s'y prend-on pour pirater le réseau d'un hôtel ? Est-ce aussi simple que cela ? Pourquoi certains hôtels installent-ils donc un réseau commun pour tous leurs appareils, clients et employés ?

Nicolas Arpagian : Il s’agit de procéder comme le ferait un informaticien chargé de l’audit du système informatique : identifier les architectures techniques employées, les logiciels installés, le mode d’administration du système d’information ainsi que les modes d’identification de chaque utilisateur légitime. Un hôtel est typiquement le type d’organisation qui ne va pas chercher à développer ses propres solutions informatiques mais piochera dans des offres largement disponibles sur le marché. En les interconnectant entre elles de manière très empirique : au fur et à mesure que les besoins apparaissent et sans faire de la sécurité a priori le critère principal. Bien d'autres seront prioritaires : faire des économies, optimiser la gestion, satisfaire un besoin exprimé par une direction métier....

Des pirates peuvent donc rapidement se trouver en terrain connu, avec des équipements informatiques très répandus sur lesquels ils auront pu se faire la main. Naturellement un hôtel indépendant ne disposera pas des mêmes ressources techniques qu’un établissement d’une chaîne internationale bénéficiant de l’appui, des moyens et des procédures d’une direction de la sécurité des systèmes d’information. Avec des règles établies et contrôlées par une direction de la gestion des risques.

Quel est l'intérêt des hackers à pirater l'intégralité du réseau d'un hôtel ?

Un hôtel est une entreprise qui a besoin de soigner sa réputation et d’inspirer confiance à ses clients et prospects. Qui doivent se sentir en sécurité durant leur séjour. Les chambres sont des endroits où sont réunis des biens à haute valeur ajoutée (passeports & pièces d'identité, téléphone & ordinateurs, argent, cartes de crédit, bijoux, documents commerciaux pour les professionnels en déplacement…). En piratant un type de serrure vous pouvez accéder à toutes les chambres, qui sont autant de cibles possibles.

Ainsi, on peut considérer que les hôtels constituent une cible de choix pour des opérations de chantage ou d’extorsion de la part de pirates qui pourraient monnayer la mise à disposition de ces informations auprès d’organisations criminelles. Ou menacer de créer des dysfonctionnements propres à mettre en danger les visiteurs ou en tous cas à perturber grandement leur séjour. Les hôteliers redoutent également les atteintes à leur e-réputation si les maîtres-chanteurs rendaient publiques sur le Net les informations relatives aux défaillances de leurs systèmes d’information. Enfin, la prise de contrôle des systèmes de sécurité peut être utile si on souhaite circuler ponctuellement sans contrainte dans l’établissement pour y cambrioler les résidents ou pénétrer dans les chambres à leur insu.

Ce cas est-il unique ou d'autres hôtels peuvent-ils être aisément piratés ? Quelle est la propension d'hôtels à fonctionner de la sorte ?

Il existe des milliers de chaînes ou de réseaux d’hôtels dans le monde. Et au final peu de fournisseurs de solutions de sécurité, comme par exemple celles qui équipent les clés électroniques qui permettent d’accéder aux chambres. Par exemple, en juillet 2012 un développeur a communiqué sur la manière dont il était parvenu à pirater à plusieurs reprises un modèle de serrure fabriqué par la société Onity, un des poids lourds du secteur. Ce type de fermeture protège des millions de chambres d’hôtels à travers la planète. En ayant réussi la prise de contrôle d’une serrure vous pouvez donc rendre vulnérables un très grand nombre d’hôtels. Et vous pouvez commercialiser votre « découverte » dans de nombreux pays en systématisant votre offre de chantage. 

Quel système les hôtels devraient-ils adopter pour protéger au mieux leur réseau et donc leurs clients ?

Il s’agit de faire de la sécurité informatique de ses infrastructures propres, qui servent au bon fonctionnement de l’établissement, et de celles ouvertes aux résidents (wifi public, ordinateurs en libre-service…) un axe prioritaire de la stratégie de l’entreprise en matière de systèmes d’information. Avec des réseaux dédiés, des sections et des opérations attribuées à certaines personnes précisément identifiées et dûment autorisées et une classification des informations en fonction de leur caractère stratégique avec des processus de protection adaptés. Un audit régulier complété par tests de pénétration doivent être régulièrement effectués. La veille sur le système d’information avec une identification des comportements inhabituels doit être organisée. Avec des procédures d’alerte et de réponse, mis à jour et connu de tous les collaborateurs concernés.

Les clients ont-ils conscience du danger ? Comment peuvent-ils se prémunir de cela en l'état actuel des choses ?

Lorsque des clients se rendent dans un hôtel, ils ne veulent pas - et c'est bien normal - avoir à se préoccuper des questions de sécurité : qu’il s’agisse de celle de l’ascenseur, du réseau électrique ou de l’informatique. Et leurs interlocuteurs immédiats : concierge, personnels d’accueil…ne sont généralement pas formés pour leur apporter des éléments techniques de réponse. Chacun doit donc se tenir à une démarche personnelle stricte s’il veut prendre en charge sa propre sécurité numérique : ne pas laisser de smartphone ou d’ordinateur portable dans sa chambre, même dans le coffre de celle-ci et éviter le réseau wi-fi de l’hôtel et l’ordinateur du business center pour se connecter à des messageries professionnelles ou sur ses interfaces bancaires. 

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !