Un chercheur canadien a mis en lumière une vulnérabilité alarmante dans les systèmes de contrôle d’accès des immeubles, où des mots de passe par défaut n’ont jamais été modifiés, facilitant ainsi l’accès nonautorisé. Cette découverte soulève de sérieuses questions sur la sécurité des données dans ces infrastructures.
Le chercheur en sécurité canadien Eric Daigle a récemment découvert une déficience de sécurité associée aux panneaux de contrôle utilisés pour restreindre l’accès aux immeubles d’appartements aux États-Unis et au Canada. En somme, certains opérateurs n’ont jamais pris la peine de changer le mot de passe par défaut du système, rendant l’accès extrêmement facile, et permettant de consulter des journaux d’activité, entre autres.
Daigle a commencé à explorer le système à la fin de l’année dernière, après avoir remarqué un panneau de contrôle d’accès intéressant lors d’une de ses sorties. Une rapide recherche Google pour « MESH by Viscount » a conduit à une page de vente vantant des capacités d’accès à distance, et une autre recherche a dévoilé un guide d’installation au format .PDF.
Comme cela est relativement courant, le système est expédié avec un mot de passe par défaut que les administrateurs sont encouragés à changer (bien que, selon Daigle, le manuel ne précise pas comment procéder). En fouillant sur la page de connexion de l’interface utilisateur, il a trouvé plusieurs pages de connexion et a pu se connecter à la première en utilisant les identifiants par défaut. Ce n’est pas bon signe.
Une fois à l’intérieur du système, Daigle avait le pouvoir de déverrouiller n’importe quelle entrée, d’enregistrer de nouveaux key fobs ou de supprimer ceux existants, de changer l’étage auquel ils sont autorisés, et bien plus encore. Il avait également accès à un journal pluriannuel montrant toute l’activité des fobs ainsi que les noms complets, numéros d’unité et numéros de téléphone des résidents. Il ne faut pas longtemps pour observer le comportement des résidents. Par exemple, on pourrait facilement déterminer que John Doe part au travail à 8 heures et rentre chez lui vers 18 heures du lundi au vendredi.
Au total, Daigle a trouvé 89 systèmes exposés en utilisation dans des immeubles d’appartements. La majorité d’entre eux – 71 – se trouvaient au Canada, le reste étant aux États-Unis.
Le chercheur a contacté le fournisseur du système, qui a indiqué que les administrateurs ne suivaient pas les recommandations du fabricant pour changer le mot de passe par défaut. Le problème a été désigné comme CVE-2025-26793, avec un score de sévérité test de 10. Un responsable produit senior a déclaré à TechCrunch qu’il avait contacté les clients pour leur rappeler de suivre le manuel d’instructions.