En juillet 2012, Cody Brocious, chercheur en sécurité, a alerté la société Onity à propos d’une faille de sécurité touchant potentiellement 4 millions de chambres d’hôtels dans le monde (contenu technique accessible ici). Avec un peu de code et quelques composants électroniques, Cody Brocious était parvenu à « cracker » la serrure en branchant des équipements au port de connexion sous la serrure. Ceci ne remettait pas en cause la fiabilité générale de la serrure, mais seulement un élément logiciel donc modifiable.

La réponse officielle d’Onitya consisté à rejeter les constatations de Cody Brocious en les qualifiant de peu fiables et complexes à mettre en œuvre. Il n’en fallait pas plus à d’autres hackers pour rendre cette procédure plus simple. En moins de deux mois, l’appareillage complexe est devenu l’équivalent d’un stylo feutre et le dégât plus difficile à détecter (voir cet article en anglais).

En août, Onity répondait qu’elle fournirait à tous ses clients un bouchon qui couvrirait le port de connexion disponible sous la serrure. Ces bouchons imposent le démontage de la serrure pour être enlevés et présentent donc un gage de sécurité mécanique, mais partiel car le problème n’est toujours pas réglé. Onity s’est également engagé à fournir les vis Torx pour remplacer les vis cruciformes. Onity propose également le remplacement des serrures aux hôteliers qui acceptent de payer le matériel (hors installation).

Mauvaise réponse, mauvaise évaluation du problème, puis mauvaise gestion de la correction du problème contribuent à un flop qui restera marqué dans les esprits au moment du remplacement futur ou de l’installation de nouvelles serrures. Qu’aurait pu faire Onity ?
remercier Cody Brocious
demander à Cody Brocious s’il avait trouvé une solution
poursuivre les recherches de vulnérabilité avec Cody Brocious et/ou d’autres personnes dont des hackers
trouver une réponse logicielle au problème logiciel et non pas une solution mécanique facile à contourner

Image d'illustration : logo Onity

Dans le cadre strictement privé (voir les CGU) de la reproduction partielle ou intégrale de cette page, merci d’insérer la marque "TendanceHotellerie" ainsi que le lien https://suiv.me/2925 vers sa source ou le QR Code accessible à l'adresse https://suiv.me/2925.qr. Voir le mode d'emploi.

Les commentaires

1. le 15 octobre 2012 à 11:43, par TH

Il est désormais possible d’acheter sur Internet pour 50$, soit environ 40 €, un kit d’ouverture des portes Onity.
Il est donc urgent que tous les possesseurs de serrures électroniques ONITY contactent leur fabricant ou installateur.
Quel fiasco !

2. le 15 octobre 2012 à 18:40, par Martin Joel

Quel fiasco de publier ce type d’info sachant que sur ma ville 25 hôtelier sont client d’ ONITY depuis plus de 10 ans et qu’ils ont déjà trouver le « remède »
La jeunesse de ce « consultant » sorti à peine de l’école hôtelière laisse perplexe
En revanche ONITY grace à cette « découverte » est à ce jour le fournisseur le plus sécurisé des serrures électroniques !!!
Merci
MJ Hôtelier

3. le 15 octobre 2012 à 19:29, par TH

Pensez-vous que TH n’aurait pas du publier l’info ?

4. le 16 octobre 2012 à 09:21, par franck

en réponse à MJ Hôtelier
vous dites : ils ont déjà trouver le « remède »
quel est ce fameux « remède » ?
merci
franck hôtelier

5. le 16 octobre 2012 à 11:32, par TH

La société Openways, spécialiste des des solutions de gestion d’accès mobiles, a développé un correctif de sécurité alternatif. Voici une vidéo de présentation en anglais :

La solution a également l’avantage d’être plus simple à déployer et peut être mise immédiatement à disposition des hôtels touchés et ce partout dans le monde.
« Dans une telle situation de manque de sécurité, et à des fins de crédibilité et de rassurance, il est essentiel que les correctifs apportés soient vérifiés par un cabinet d’audit de sécurité indépendant et digne de confiance", dit Métivier. "C’est ce que nous avons fait avec nos correctifs. Les résultats sont remarquables et confirment l’efficacité de notre solution pour définitivement enrayer le problème et bien plus encore".
"Pour le rendre facilement adaptable aux hôtels, nous avons pris la décision, de rendre la licence du logiciel fixant le problème de sécurité publié, disponible en mode freeware (libre de toute redevance)," Metivier ajoute : « Nous apportons des solutions différentes et des choix aux hôtels concernés qui peuvent maintenant, grâce à notre LOCKFIX et à nos solutions de clés mobiles, faire d’une pierre deux coups. "
Pour savoir comment un hôtel concerné peut bénéficier des ces correctifs améliorés et d’en apprendre d’avantage sur Mobile Key, merci de bien vouloir compléter le formulaire en ligne en ajoutant "LOCKFIX" dans la section texte à l’adresse : http://openways.com/pages/contacto.html.

6. le 16 octobre 2012 à 12:33, par Metivier

Une vraie solution existe grace à OpenWays:LOCKFIX
Voir lien ici

7. le 5 novembre 2013 à 12:42, par bouj

Bonjour
j suis technicien des serrures pour les hotels. j n jamais vu des serrures catastrophiques que celles d’Onity. beaucoup des accessoires couteux et inutiles !
et pour avoir un encodeur ’ il t faut 3000€ !

Forum sur abonnement

Pour participer à ce forum, vous devez vous enregistrer au préalable. Merci d’indiquer ci-dessous l’identifiant personnel qui vous a été fourni. Si vous n’êtes pas enregistré, vous devez vous inscrire.

Connexion | s’inscrire | mot de passe oublié ?

Cas pratique de mauvaise gestion de crise avec les serrures Onity

Recommander cette page

Les commentaires