Passer une nuit à l’hôtel, potentiellement écouté et scruté par des inconnus au travers des yeux d’un robot tout mignon ça ne fait pas forcément envie… C’est peut-être, pourtant, ce qui est arrivé aux clients de l’Hôtel Henn na Maihama Tokyo Bay, au Japon.
Le 12 octobre un utilisateur de Twitter, Lance R. Vick, qui se définit dans sa bio comme expert en cybersécurité, a révélé une faille majeure touchant un hôtel de la chaine japonaise H.I.S. group Holding.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
It has been a week, so I am dropping an 0day.
The bed facing Tapia robot deployed at the famous Robot Hotels in Japan can be converted to offer anyone remote camera/mic access to all future guests.
Unsigned code via NFC behind the head.
Vendor had 90 days. They didn't care. pic.twitter.com/m2z6yLbrzq
— Lance R. Vick (@lrvick) October 12, 2019
Des robots hôteliers faillibles
Ces hôtels d’un style un peu particulier avaient déjà fait parler d’eux à l’occasion de leur lancement en 2015, le service est en grande partie assuré par des robots. Le groupe a même obtenu à l’occasion une place dans Guinness book des records grâce à cette spécificité.
Initialement utilisé pour compenser un manque de personnel le groupe en a fait une signature. Il possède aujourd’hui douze établissements Henn na à travers tout le Japon. L’Hôtel dont il est question ici est le Henn na Maihama Tokyo Bay, qui a la particularité d’être implanté dans un lieu très touristique, à côté du populaire parc Disneyland Tokyo.
Lance R. Vick s’est rendu compte que l’un des robots était plus vulnérable que ses congénères, Tapia. Les robots Tapia avaient des codes non signés. De ce fait il était assez aisé, une fois à l’hôtel, de passer à l’arrière du robot une étiquette NFC pré-configurée pour accéder à ses paramètres et installer une application. Après avoir quitté les lieux, il est possible d’utiliser les capacités vidéo et audio de l’engin.
Un simple appareil équipé de la technologie NFC, c’est le cas de la plupart des smartphones, pouvait prendre le contrôle d’un Tapia sans connaissance particulière.
Le problème c’est que Tapia fait office d’assistant personnel. Posé sur la table de chevet de toutes les chambres il permet de régler la télévision, l’éclairage, consulter la météo, faire des vidéoconférences… Il a donc logiquement une vue dégagée sur toute l’intimité des clients.
La chaine, qui s’est excusée « pour tout le malaise causé », a reconnu le 17 octobre, avec le constructeur de Tapia, MJI Robotics, l’existence d’une faille qui a depuis été comblée.
La chaine hôtelière était prévenue depuis plusieurs mois de l’existence d’une faille
Là où le bât blesse, c’est que l’Hôtel était au courant au moins depuis le 6 juillet de l’existence de cette vulnérabilité, suite au mail d’un client. Lance R. Vick lui-même a prévenu l’entreprise avant de rendre public ce qu’il savait, car H.I.S. group n’avait pas réagi.
Si l’on en croit la chaîne de télévision japonaise TV Asahi, l’hôtelier, après avoir contacté le fabricant, avait estimé que « le risque d’accès non autorisé était faible ».
Ce n’est pas le premier bad buzz pour H.I.S. group. Leurs hôtels du futur sont régulièrement ramenés à la réalité du présent. L’un des robots également placés dans les chambres d’un des hôtels Henn na avait dû être retiré, activé par les ronflements des clients. Les robots tyrannosaure de l’accueil, eux, ne parvenaient tantôt pas à comprendre le nom des clients tantôt à photocopier les passeports des nouveaux venus. Enfin les robots chargés de s’occuper des bagages des clients n’arrivaient pas à se hisser dans toutes les chambres à cause de l’irrégularité du sol.
Ce n’est pas encore demain la veille que les robots dépasseront les hommes dans hôtellerie, faut-il s’attendre à mieux dans la restauration ?
