Les systèmes d’enregistrement des visiteurs défectueux permettent à n’importe qui de voler les bûches des invités et de se faufiler dans les bâtiments.
Les chercheurs en sécurité chez IBM ont trouvé, signalé et divulgué 19 vulnérabilités dans cinq systèmes populaires de gestion des visiteurs, qui, selon eux, peuvent être utilisés pour voler des données sur les visiteurs – ou même se faufiler dans des zones sensibles et hors limites des immeubles de bureaux.
Vous avez probablement déjà vu l’un de ces systèmes d’enregistrement des visiteurs : on les trouve souvent dans les halls d’entrée ou les aires d’accueil des immeubles à bureaux pour contrôler le personnel et les visiteurs sur le lieu de travail. Les visiteurs vérifient leur nom et ceux qu’ils rencontrent à l’aide de l’écran tactile ou de la tablette, et un badge d’identification est imprimé ou délivré.
Mais les chercheurs d’IBM disent que les failles dans ces systèmes ont fourni “un faux sentiment de sécurité”.
Les chercheurs ont examiné cinq des systèmes les plus populaires : Lobby Track Desktop, construit par Jolly Technologies, présentait sept vulnérabilités ; eVisitorPass, récemment rebaptisé Threshold Security, présentait cinq vulnérabilités ; EasyLobby Solo, construit par HID Global, présentait quatre vulnérabilités ; le système Envoy Passport, le produit phare, deux vulnérables ; et The Receptionist, application iPad, une seule.
Lire également : Facebook dit que Workplace a maintenant 2 millions d'utilisateurs payants
Selon IBM, les vulnérabilités ne pouvaient être exploitées que par quelqu’un physiquement au check-in. Les bogues allaient de permettre à quelqu’un de télécharger les journaux des visiteurs, tels que les noms, le permis de conduire et les données de la sécurité sociale, et les numéros de téléphone ; ou dans certains cas, le logiciel buggy pourrait être exploité pour échapper au mode “kiosque”, permettant l’accès au système d’exploitation sous-jacent, que les chercheurs ont dit pourrait être utilisé pour pivoter vers d’autres applications et sur le réseau, si connecté.
Pire encore, l’utilisation d’informations d’identification admin par défaut qui donneraient “le contrôle complet de l’application”, comme la possibilité d’éditer la base de données des visiteurs. Certains systèmes ” peuvent même émettre et fournir des badges RFID, donnant à un attaquant une clé pour ouvrir des portes “, ont écrit les chercheurs.
Daniel Crowley, directeur de recherche chez IBM X-Force Red, l’équipe de recherche de l’entreprise, a déclaré à TechCrunch que toutes les entreprises avaient répondu aux conclusions de l’équipe.
“Certains ont répondu beaucoup plus rapidement que d’autres, a dit M. Crowley. “Les vulnérabilités du Lobby Track ont été reconnues par Jolly Technologies, mais ils ont déclaré que les problèmes peuvent être résolus par des options de configuration. X-Force Red a testé le logiciel Lobby Track dans sa configuration par défaut “, a-t-il ajouté.
Nous avons contacté les entreprises et avons reçu – pour la plupart – des réponses lamentables.
Kate Miller, une porte-parole d’Envoy, a confirmé qu’elle avait corrigé les bogues, mais ” les données des clients et des visiteurs n’ont jamais été en danger “.
Andy Alsop, directeur général de la Réceptionniste, n’a pas répondu à une demande de commentaires, mais s’est inscrit automatiquement à une liste d’envoi sans notre permission, ce dont nous nous sommes rapidement désabonnés. Une fois atteint, Michael Ashford, directeur du marketing, n’a pas commenté.
David Jordan, représentant de Jolly, a refusé de commenter. De plus, ni Threshold Security ni HID Global n’ont répondu à nos demandes de commentaires.
Cybersécurité 101 : Six guides de sécurité simples pour protéger votre vie privée
