Une société de recherche en sécurité affirme avoir découvert une vulnérabilité « facilement » exploitable dans un système de sécurité d’entrée de porte utilisé dans les bâtiments gouvernementaux et les complexes d’appartements, mais avertit que la vulnérabilité ne peut pas être corrigée.
La société de sécurité norvégienne Promon affirme que le bogue affecte plusieurs modèles d’Aiphone GT qui utilisent la technologie NFC, souvent présente dans les cartes de crédit sans contact, et permet aux mauvais acteurs d’accéder potentiellement à des installations sensibles en forçant brutalement le code de sécurité du système d’entrée de porte.
Les systèmes d’entrée de porte permettent un accès sécurisé aux bâtiments et aux complexes résidentiels, mais sont de plus en plus numérisés, ce qui les rend vulnérables aux compromis physiques et à distance.
Aiphone compte à la fois la Maison Blanche et le Parlement britannique comme clients des systèmes concernés, selon les brochures de l’entreprise consultées par TechCrunch.
Le chercheur en sécurité de Promon, Cameron Lowell Palmer, a déclaré qu’un intrus potentiel peut utiliser un appareil mobile compatible NFC pour parcourir rapidement chaque permutation d’un code « admin » à quatre chiffres utilisé pour sécuriser chaque système de porte Aiphone GT. Parce que le système ne limite pas le nombre de fois qu’un code peut être essayé, Palmer a déclaré qu’il ne faut que quelques minutes pour parcourir chacun des 10 000 codes à quatre chiffres possibles utilisés par le système d’entrée de porte. Ce code peut être saisi dans le clavier du système ou transmis à une étiquette NFC, permettant aux mauvais acteurs d’accéder potentiellement à des zones restreintes sans avoir à toucher du tout le système.
Dans une vidéo partagée avec TechCrunch, Palmer a créé une application Android de preuve de concept qui lui a permis de vérifier chaque code à quatre chiffres sur un système d’entrée de porte Aiphone vulnérable dans son laboratoire de test. Palmer a déclaré que les modèles Aiphone concernés ne stockent pas les journaux, permettant à un acteur malveillant de contourner la sécurité du système sans laisser de trace numérique.
Crédits image : Cameron Lowell Palmer / Promon
Palmer a divulgué la vulnérabilité à Aiphone fin juin 2021. Aiphone a déclaré à la société de sécurité que les systèmes fabriqués avant le 7 décembre 2021 sont affectés et ne peuvent pas être mis à jour, mais que les systèmes après cette date ont un correctif logiciel qui limite le taux de tentatives d’entrée de porte.
Ce n’est pas le seul bogue que Promon a découvert dans le système Aiphone. Promon a également déclaré avoir découvert que l’application utilisée pour configurer le système d’entrée de porte offre un fichier en texte brut non crypté contenant le code administrateur du portail principal du système. Promon a déclaré que cela pourrait permettre à un intrus d’accéder également aux informations nécessaires pour accéder aux zones restreintes.
Le porte-parole d’Aiphone, Brad Kemcheff, n’a pas répondu aux demandes de commentaires envoyées avant la publication.
Dans le même ordre d’idées, un étudiant universitaire et chercheur en sécurité a découvert plus tôt cette année une vulnérabilité de «clé principale» dans un système d’entrée de porte largement utilisé construit par CBORD, une société de technologie qui fournit des systèmes de contrôle d’accès et de paiement aux hôpitaux et aux campus universitaires. CBORD a corrigé le bogue après que le chercheur a signalé le problème à l’entreprise.