Une société de recherche en sécurité affirme avoir découvert une faille qui pourrait être « facilement » exploitée dans un système de sécurité d'entrée utilisé dans les bâtiments gouvernementaux et les complexes d'appartements, mais cette faille ne peut pas être corrigée. La société émet un avertissement concernant cette faille.
Selon l'entreprise norvégienne de sécurité Promon, la faille est présente dans plusieurs modèles de l'Aiphone GT qui utilisent la technologie NFC, que l'on retrouve généralement dans les cartes de crédit sans contact. Cette faille permet aux acteurs malveillants d'accéder à des installations sensibles en forçant le code de sécurité du système d'entrée des portes.
Les systèmes d'entrée de porte permettent d'accéder en toute sécurité aux bâtiments et aux complexes résidentiels. Cependant, leur recours croissant à la technologie numérique les rend plus vulnérables aux formes de falsification directes et indirectes.
À lire aussi : Les principales tendances de l’apprentissage en ligne en 2022
La clientèle d'Aiphone menacée
Selon les brochures de l'entreprise, Aiphone cite la Maison Blanche et le Parlement du Royaume-Uni comme clients des systèmes compromis.
Cameron Lowell Palmer, chercheur en sécurité chez Promon, a déclaré qu'un intrus potentiel pourrait utiliser un appareil mobile compatible NFC pour parcourir rapidement toutes les combinaisons possibles d'un code « administrateur » à quatre chiffres afin de sécuriser chaque système de porte Aiphone GT. Palmer a fait cette déclaration après avoir effectué des recherches pour le compte de Promon. Palmer a déclaré qu'il ne faut que quelques minutes pour parcourir chacun des 10 000 codes potentiels à quatre chiffres utilisés par le système d'entrée de porte. Cela est dû au fait que le système ne limite pas le nombre de tentatives de saisie d'un code. Ce code peut être saisi sur le clavier du système ou transféré sur une étiquette NFC, ce qui permet aux acteurs malveillants d'accéder à des zones restreintes sans avoir besoin de toucher l'appareil.
Palmer a montré comment il a construit une application Android de preuve de concept dans une vidéo publiée sur TechCrunch. Le logiciel lui a permis de vérifier chaque code à quatre chiffres d'un système d'entrée de porte Aiphone qui était vulnérable dans son laboratoire de test. Palmer a déclaré que les variantes affectées de l'Aiphone n'enregistrent pas les journaux, ce qui permet aux utilisateurs malveillants de contourner la sécurité du système sans laisser de trace numérique.
Au cours de la deuxième quinzaine de juin 2021, Palmer a informé Aiphone de la faille de sécurité. Aiphone a informé la société de sécurité que les systèmes fabriqués avant le 7 décembre 2021 sont vulnérables et ne peuvent pas être mis à jour. Cependant, Aiphone a indiqué à la société de sécurité que les systèmes fabriqués après cette date disposent d'un correctif logiciel qui limite le nombre de fois qu'une porte est ouverte.
Plusieurs défauts dans le système Aiphone
Promon a découvert plus d'une faille dans le système Aiphone. Celle-ci n'en est qu'une parmi tant d'autres. Promon a également déclaré avoir découvert que l'application utilisée pour configurer le système d'entrée de porte fournit un fichier en texte clair qui n'est pas crypté et qui comprend le code administrateur du portail d'arrière-plan du système. Promon a déclaré que cela pourrait également permettre aux intrus d'accéder aux informations requises pour entrer dans les zones interdites.
Les demandes de réponse formulées avant la publication de l'article n'ont pas reçu de réponse du représentant d'Aiphone, Brad Kemcheff.
CBORD est une entreprise technologique qui fournit des systèmes de contrôle d'accès et de paiement aux hôpitaux et aux campus universitaires. Plus tôt cette année, un étudiant universitaire qui était également chercheur en sécurité a découvert une vulnérabilité dans un système d'entrée de porte largement utilisé construit par CBORD. La vulnérabilité a été qualifiée de « clé maîtresse ». Après que le chercheur a porté le problème à l'attention de CBORD, l'entreprise a rapidement corrigé la faille.
Image en vedette : Technologie NFC
Abonnez-vous à Whitepapers.online pour en savoir plus sur les nouvelles mises à jour et les changements apportés par les géants de la technologie qui affectent la santé, le marketing, les affaires et d'autres domaines. De plus, si vous aimez notre contenu, partagez-le sur les plateformes de médias sociaux comme Facebook, WhatsApp, Twitter, etc.