Un chercheur en sécurité affirme que le mot de passe par défaut expédié dans un système de contrôle d’accès aux portes largement utilisé permet à quiconque de serrures de porte et de commandes d’ascenseur facilement et à remotalie dans des dizaines de bâtiments aux États-Unis et au Canada.
Hirsch, la société qui possède désormais le système d’accès aux portes de maille en enterphone, ne corrigera pas la vulnérabilité, affirmant que le bogue est par conception et que les clients auraient dû suivre les instructions de configuration de l’entreprise et modifier le mot de passe par défaut.
Cela laisse des dizaines d’immeubles résidentiels et de bureaux exposés à travers l’Amérique du Nord qui n’ont pas encore modifié le mot de passe par défaut de leur système de contrôle d’accès ou ne savent pas qu’ils devraient, selon Eric Daigle, qui a trouvé les dizaines de bâtiments d’exposition.
Les mots de passe par défaut ne sont pas rares ni ne permettent un secret dans les appareils connectés à Internet; Les mots de passe expédiés avec des produits sont généralement conçus pour simplifier l’accès à la connexion pour le client et se trouvent souvent dans leur manuel d’instructions. Mais s’appuyer sur un client pour modifier un mot de passe par défaut pour prendre tout futur accès malveillant classe toujours comme une vulnérabilité de sécurité au sein du produit lui-même.
Dans le cas des produits d’entrée de porte de Hirsch, les clients qui installent le système ne sont pas invités ou nécessaires pour modifier le mot de passe par défaut.
En tant que tel, Daigle a été crédité de la découverte du bogue de sécurité, officiellement désigné comme CVE-2025-26793.
Pas de correctif planifié
Les mots de passe par défaut ont longtemps été un problème pour les appareils liés à Internet, permettant aux pirates malveillants d’utiliser les mots de passe pour se connecter comme s’ils étaient le propriétaire légitime et de voler des données, ou de détourner les appareils pour exploiter leur bande passante pour le lancement de cyberatacks. Ces dernières années, les gouvernements ont cherché à empêcher les fabricants de technologies de l’utiliser des mots de passe par défaut sans sécurité étant donné les risques de sécurité qu’ils présentent.
Dans le cas du système d’entrée de porte d’Hirsch, le bug est évalué à 10 sur 10 sur l’échelle de gravité de la vulnérabilité, grâce à la facilité avec laquelle n’importe qui peut l’exploiter. En pratique, l’exploitation du bogue est aussi simple que de taire le mot de passe par défaut du guide d’installation du système sur le site Web de Hirsch et de brancher le mot de passe sur la page de connexion orientée sur Internet sur le système de tout bâtiment affecté.
Dans un article de blog, Daigle a déclaré qu’il avait trouvé la vulnérabilité l’année dernière après avoir découvert l’un des panneaux d’entrée de porte en maille en enterphone fabriqués par Hirsch sur un bâtiment dans sa ville natale de Vancouver. Daigle a utilisé le site de numérisation Internet Zoomeye pour rechercher des systèmes de maillage en enterphone connectés à Internet, et a trouvé 71 systèmes qui se sont toujours soumis aux informations d’identification par défaut.
Daigle a déclaré que le mot de passe par défaut permet d’accéder au système backend basé sur le Web de Mesh, que les directeurs d’immeubles utilisent pour gérer l’accès aux ascenseurs, aux zones communes et aux serrures de porte de bureaux et résidentielles. Chaque système affiche l’adresse physique du bâtiment avec le système de maillage installé, permettant à quiconque se connecte à savoir à quel bâtiment il avait accès.
Daigle a déclaré qu’il était possible de pénétrer efficacement dans l’une des dizaines de bâtiments avués en quelques minutes sans attirer aucune attention.
TechCrunch est intervenu parce que Hirsch n’a pas les moyens, comme une page de divulgation de vulnérabilité, pour que des membres du public comme Daigle signalent une faille de sécurité à l’entreprise.
Le PDG de Hirsch, Mark Allen, n’a pas répondu à la demande de commentaires de TechCrunch à la place à un chef de produit Hirsch senior, qui a déclaré à TechCrunch que l’utilisation par la société de mots de passe par défaut est «dépassé» (sans dire comment). Le chef de produit a déclaré qu’il était «tout aussi préoccupant» qu’il y avait des clients qui «installent des systèmes et ne suivent pas les recommandations des fabricants», se refantant les propres instructions d’installation d’Hirsch.
Hirsch ne s’engagerait pas à divulguer publiquement des détails sur le bogue, mais a déclaré qu’il avait contacté ses clients à propos de la suite du manuel d’instructions du produit.
Avec Hirsch qui ne veut pas corriger le bogue, certains bâtiments – et leurs occupants – sont susceptibles de rester exposés. Le bogue montre que les choix de développement de produits d’antan peuvent revenir pour avoir des implications réelles des années plus tard.
