Au Japon, l’hôtel Henn na collabore main dans la main avec des robots depuis plusieurs mois maintenant. S’il a du se séparer de la moitié d’entre eux au mois de janvier, car ceux-ci étaient trop mauvais, il en a tout de même conservé plusieurs. Dont les robots de chevet, qui font office d’assistants vocaux pour les clients de l’hôtel.
Des robots de chevet (très) peu sécurisés
Dans l’établissement japonais, la reconnaissance faciale permet aux clients d’entrer dans leur chambre avant que le robot de chevet ne se charge de répondre à leurs demandes. Sur le papier, les appareils ont donc une utilité pratique et montrent la volonté de l’hôtel d’adopter les nouvelles technologies pour satisfaire ses visiteurs. Sauf que la cybersécurité ne semble pas vraiment avoir été de mise.
Un chercheur du nom de Lance Vick a indiqué sur Twitter qu’il avait averti la chaîne d’hôtel HIS Group quelques mois plus tôt. S’il a alerté cette dernière en juillet, il précise ne pas avoir eu de nouvelles en octobre, ce qui veut dire que le problème est toujours d’actualité.
Et le souci, c’est que les robots de chevet de l’hôtel Henn na sont facilement piratables. En tapant le code NFC indiqué à l’arrière de l’appareil, n’importe qui peut accéder à la vidéo du robot concerné. En somme, n’importe qui peut regarder et écouter les personnes se trouvant dans leur chambre.
Comme il n’a pas eu de nouvelles de l’hôtel, Lance Vick a rendu le piratage public au mois d’octobre, comme il est coutume de le faire quand une firme ne réagit pas malgré les alertes qu’elle reçoit. Sur Twitter, il explique : « Cela fait une semaine, donc je balance une 0 day [une faille qui n’a jamais été découverte auparavant, NDLR] […] Ils s’en foutent ».
It has been a week, so I am dropping an 0day.
The bed facing Tapia robot deployed at the famous Robot Hotels in Japan can be converted to offer anyone remote camera/mic access to all future guests.
Unsigned code via NFC behind the head.
Vendor had 90 days. They didn't care. pic.twitter.com/m2z6yLbrzq
— https://mastodon.social/@lrvick (@lrvick) October 12, 2019
Suite à ces messages, la chaîne d’hôtels HIS Group s’est publiquement excusée, indiquant que les risques étaient faibles, mais que les robots ont été mis à jour. Elle n’a pas communiqué sur de potentiels cas montrant que des pirates ont bel et bien profité de la faille.
Si Lance Vick a évoqué le cas de l’hôtel Henn na, une dizaine d’autres établissements se servent aussi de robots pour différentes taches. HIS Group n’a pas évoqué leur cas.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.