Un chercheur en sécurité affirme que le mot de passe par défaut expédié dans un système de contrôle d'accès aux portes largement utilisé permet à quiconque d'accéder facilement et à distance aux serrures de porte et aux commandes d'ascenseur dans des dizaines de bâtiments aux États-Unis et au Canada.
Hirsch, la société qui détient désormais le système de contrôle d'accès aux portes Enterphone MESH, ne résoudra pas la vulnérabilité, affirmant que le bogue est intentionnel et que les clients auraient dû suivre les instructions d'installation de l'entreprise et changer le mot de passe par défaut.
Cela laisse des dizaines de bâtiments résidentiels et de bureaux exposés en Amérique du Nord qui n'ont pas encore changé le mot de passe par défaut de leur système de contrôle d'accès ou qui ignorent qu'ils devraient le faire, selon Eric Daigle, qui a découvert les dizaines de bâtiments exposés.
Les mots de passe par défaut ne sont pas rares ni nécessairement secrets dans les appareils connectés à Internet; les mots de passe expédiés avec les produits sont généralement conçus pour simplifier l'accès à la connexion pour le client et se trouvent souvent dans leur manuel d'instructions. Mais le fait de compter sur un client pour changer un mot de passe par défaut afin de prévenir tout accès malveillant futur est toujours une vulnérabilité de sécurité dans le produit lui-même.
Dans le cas des produits d'entrée de porte de Hirsch, les clients qui installent le système ne sont pas incités ou tenus de changer le mot de passe par défaut.
En tant que tel, Daigle a été crédité de la découverte du bogue de sécurité, officiellement désigné CVE-2025-26793.
Aucune correction prévue
Les mots de passe par défaut posent depuis longtemps problème pour les appareils connectés à Internet, permettant aux pirates malveillants d'utiliser les mots de passe pour se connecter comme s'ils étaient le propriétaire légitime et de voler des données, ou de pirater les appareils pour exploiter leur bande passante pour lancer des cyberattaques. Ces dernières années, les gouvernements ont cherché à inciter les fabricants de technologies à éviter d'utiliser des mots de passe par défaut non sécurisés en raison des risques de sécurité qu'ils présentent.
Dans le cas du système d'entrée de porte de Hirsch, le bogue est classé 10 sur 10 sur l'échelle de gravité des vulnérabilités, en raison de la facilité avec laquelle n'importe qui peut l'exploiter. En pratique, exploiter le bogue est aussi simple que de prendre le mot de passe par défaut du guide d'installation du système sur le site Web de Hirsch et de le saisir dans la page de connexion orientée Internet sur le système du bâtiment concerné.
Dans un billet de blog, Daigle a déclaré qu'il avait découvert la vulnérabilité l'année dernière après avoir découvert l'un des panneaux d'entrée de porte Enterphone MESH fabriqués par Hirsch dans un bâtiment de sa ville natale de Vancouver. Daigle a utilisé le site de recherche sur Internet ZoomEye pour rechercher des systèmes Enterphone MESH connectés à Internet et a trouvé 71 systèmes qui dépendaient encore des informations d'identification expédiées par défaut.
Daigle a déclaré que le mot de passe par défaut permettait d'accéder au système back-end Web de MESH, que les gestionnaires de bâtiment utilisent pour gérer l'accès aux ascenseurs, aux zones communes, aux serrures de porte des bureaux et des résidences. Chaque système affiche l'adresse physique du bâtiment avec le système MESH installé, permettant à quiconque se connecte de savoir à quel bâtiment il avait accès.
Daigle a affirmé qu'il était possible de s'introduire efficacement dans l'un des dizaines de bâtiments affectés en quelques minutes sans attirer l'attention.
TechCrunch est intervenu car Hirsch n'a pas les moyens, tels qu'une page de divulgation des vulnérabilités, pour que des membres du public comme Daigle signalent une faille de sécurité à l'entreprise.
Le PDG de Hirsch, Mark Allen, n'a pas répondu à la demande de commentaires de TechCrunch, mais a plutôt renvoyé à un gestionnaire de produit senior de Hirsch, qui a déclaré à TechCrunch que l'utilisation des mots de passe par défaut de l'entreprise était "obsolète" (sans préciser comment). Le gestionnaire de produit a déclaré qu'il était également préoccupant "que des clients aient installé des systèmes et ne suivent pas les recommandations des fabricants", faisant référence aux propres instructions d'installation de Hirsch.
Hirsch ne s'est pas engagé à divulguer publiquement les détails sur le bogue, mais a déclaré avoir contacté ses clients pour suivre le manuel d'instructions du produit.
Avec Hirsch refusant de corriger le bogue, certains bâtiments - et leurs occupants - resteront probablement exposés. Le bogue montre que les choix de développement de produits d'antan peuvent avoir des implications concrètes des années plus tard.
