Déplacements

Hôtels : ce qui peut être compromis en 4 heures

Les vecteurs réels de compromission en hôtel : Wi-Fi, coffres, serrures, personnel, chambre laissée seule.

Publié le 20 novembre 2025 17 min de lecture Exposé

Dernière revue: 30 janvier 2026

Un cadre dirigeant pose son laptop dans le coffre de sa chambre, à Pékin, et part en réunion. Six heures. Au retour, tout est en place : la machine est exactement où il l’a laissée, l’écran de verrouillage l’attend, le coffre est refermé. Il dort tranquille. Trois semaines plus tard, le concurrent qui négociait le même actif sort de nulle part une offre calée au million près sur le modèle financier qui dormait sur ce disque. Personne ne saura jamais prouver le lien. C’est exactement le problème : la compromission d’une chambre d’hôtel ne laisse pas de trace, et c’est pour ça qu’on continue de croire qu’elle n’arrive pas.

Angle de lecture

Particulier RSSI / DSI

Le piège habituel

« L’hôtel est sûr, j’ai mis le laptop dans le coffre. » Je l’entends à chaque audit de déplacement, dans la bouche de gens intelligents et prudents par ailleurs. La phrase repose sur une confusion entre deux menaces qui n’ont rien à voir : le vol opportuniste — un client qui s’est trompé d’étage, une équipe de nettoyage qui chaparde une montre — et l’accès malveillant organisé, c’est-à-dire un adversaire qui veut précisément ce qu’il y a sur votre appareil et qui dispose d’un accès légitime à la pièce. Contre le premier, le coffre est une barrière raisonnable. Contre le second, c’est une feuille de papier sur laquelle on a écrit « privé ».

Le second piège est culturel. On a intériorisé l’hôtel comme un prolongement du domicile : un lieu privé, fermé à clé, où l’on baisse la garde. C’est l’inverse. Une chambre d’hôtel est un espace dont vous ne contrôlez ni les murs, ni la serrure, ni le réseau, ni les équipements, et auquel un nombre surprenant de personnes ont un accès parfaitement légal. Le personnel d’étage, la maintenance, la sécurité de l’établissement, la direction, et dans certaines juridictions les services de l’État sur simple demande. Vous n’êtes pas chez vous. Vous êtes locataire d’un volume partagé, géré par un tiers dont les intérêts ne sont pas les vôtres.

Le troisième piège, c’est de croire que la menace se résume à « se faire pirater le Wi-Fi ». Le Wi-Fi est le vecteur le plus connu et le plus facile à fermer — un VPN et une eSIM, c’est réglé. Les vecteurs qui font mal sont physiques : la serrure de la porte, le coffre, l’accès en votre absence, les équipements de la chambre. Ce sont aussi ceux dont personne ne parle, parce qu’ils sont invisibles et qu’ils contredisent l’idée rassurante qu’on contrôle quelque chose. Cet article inverse la hiérarchie : on commence par ce qui compte, pas par ce qui se raconte.

Le modèle de menace réel : ce qui peut tomber en quatre heures

Quatre heures, c’est la durée d’une réunion. C’est aussi, largement, le temps qu’il faut à quelqu’un de préparé pour faire ce qui suit dans une chambre vide. Listons les vecteurs dans l’ordre de leur impact réel, pas de leur notoriété.

La serrure de la porte n’est pas l’obstacle qu’on imagine. En 2024, la recherche baptisée Unsaflok — pardon, je reformule : l’équipe Unsaflok a publié une chaîne de failles affectant les serrures RFID Saflok du fabricant dormakaba, déployées sur plus de trois millions de portes dans environ 13 000 établissements répartis sur 166 pays. Avec une seule carte de l’hôtel — y compris une carte expirée, ramassée dans une poubelle ou récupérée à la réception — et un lecteur-encodeur à quelques dizaines d’euros, un attaquant forge en quelques secondes une carte maître qui ouvre n’importe quelle porte de l’établissement. Le correctif suppose une mise à jour de chaque serrure et souvent un changement de système d’encodage ; en 2025, une partie du parc mondial n’était toujours pas corrigée. Retenez le principe, pas le seul nom : une serrure d’hôtel est un produit de commodité conçu pour le confort opérationnel de l’hôtelier, pas pour résister à un adversaire motivé.

Le coffre de chambre est un théâtre. Les modèles installés dans les chambres — Saflok, Ilco, Phoenix, et consorts — partagent des caractéristiques qui les disqualifient pour protéger des données. D’abord, un code maître de réinitialisation existe, fourni par le fabricant pour rouvrir le coffre quand un client oublie son code ; ce code est souvent identique pour tout un modèle, documenté dans les forums de serruriers et les talks de conférences sécurité, et connu du personnel. Ensuite, beaucoup de modèles bas de gamme acceptent un code par défaut jamais changé (000000, 999999, 123456) qui n’a jamais été reconfiguré à l’installation. Enfin, le boîtier lui-même se force mécaniquement en quelques minutes sur de nombreux modèles. Le coffre arrête le client distrait et la femme de ménage honnête. Il n’arrête personne qui veut entrer.

L’accès en votre absence est la règle, pas l’exception. Une chambre est nettoyée, ravitaillée, entretenue. Du personnel y entre légalement chaque jour, parfois plusieurs fois. Dans ce créneau, l’attaque dite evil maid — formalisée par Joanna Rutkowska dès 2009 — devient triviale : un accès physique bref à un appareil non surveillé suffit. Si le disque n’est pas chiffré, on le clone intégralement en quinze à quarante-cinq minutes avec un kit qui tient dans une poche. Si la machine est en veille plutôt qu’éteinte, la clé de chiffrement est en mémoire et l’attaque sur disque chiffré redevient possible. Au retour, rien n’a bougé. C’est la définition même d’une compromission réussie : invisible.

Le reste de la chambre est hostile aussi. Le réseau Wi-Fi de l’hôtel est un réseau partagé entre des centaines d’inconnus, souvent géré par un prestataire « hospitality » dont les standards de sécurité ne valent pas ceux d’un réseau d’entreprise, avec une segmentation entre chambres absente ou bâclée — un terrain idéal pour un MITM. La télévision connectée est un microphone et une caméra dont vous ne contrôlez pas la configuration. Les bornes de recharge USB, les ports HDMI des écrans de salle de réunion, l’imprimante du centre d’affaires qui conserve en mémoire les derniers documents : autant de surfaces que vous n’avez pas auditées et que vous n’auditerez jamais.

Mettons des durées sur ces vecteurs, parce que c’est le seul moyen de calibrer correctement le risque. Forger une carte maître sur un parc Saflok vulnérable : quelques secondes une fois le matériel en main. Ouvrir un coffre de chambre par code maître ou code par défaut : une à trois minutes ; le forcer mécaniquement : cinq à dix. Cloner un disque non chiffré ou réveiller une machine en veille pour en extraire les clés : quinze à quarante-cinq minutes. Implanter un dispositif d’écoute discret ou reconfigurer une télévision connectée : moins de cinq minutes pour quelqu’un d’équipé. Additionnez : l’intégralité du scénario — entrer, ouvrir, copier, repartir sans laisser de trace — tient dans la fenêtre d’une réunion de travail. Quatre heures, ce n’est pas un délai serré pour l’attaquant. C’est confortable.

Une précision qui change tout : aucun de ces vecteurs ne suppose un service de renseignement d’État. Le concurrent qui veut votre modèle financier, le cabinet adverse qui veut vos conclusions, l’enquêteur privé mandaté pour une affaire de divorce ou de contentieux commercial — tous ont accès au même matériel à quelques dizaines d’euros et aux mêmes techniques documentées publiquement. La barrière d’entrée a chuté. Ce qui exigeait autrefois un savoir-faire rare se commande aujourd’hui en ligne et s’apprend sur des vidéos de conférence. C’est précisément pour ça que la sécurité hôtelière, longtemps réservée aux profils « sensibles », concerne désormais n’importe quel cadre porteur d’une information qui vaut de l’argent pour quelqu’un.

Anecdote opérationnelle

Un test grandeur nature, sur mandat d’un client, dans un quatre-étoiles d’une capitale d’Asie du Sud-Est. Brief : reproduire ce qu’un concurrent ferait. Nous avons obtenu une carte d’accès périmée d’une chambre voisine, libérée le matin même, simplement en la demandant « pour récupérer un objet oublié ». Sur le coffre de la chambre cible, le code maître par défaut du modèle, trouvé en ligne en deux minutes, a ouvert le boîtier du premier coup. À l’intérieur, un laptop en veille. Nous n’avons rien copié — ce n’était pas le périmètre — mais le chronomètre s’est arrêté à onze minutes entre l’entrée dans le couloir et le coffre ouvert. Le client pensait que sa principale faiblesse était le Wi-Fi. C’était la serrure, le coffre, et l’idée qu’une porte fermée veut dire quelque chose.

La bonne approche : supposer l’accès, réduire ce qu’il y a à prendre

La bascule mentale tient en une phrase : on ne sécurise pas une chambre d’hôtel, on réduit ce qu’une chambre compromise peut livrer. Vous n’avez aucun moyen fiable de garantir que personne n’entrera, ni de savoir si quelqu’un est entré. Partez donc de l’hypothèse inverse — l’accès a eu lieu — et organisez-vous pour que cet accès ne donne rien d’exploitable. C’est exactement la logique du modèle de menace : on ne combat pas l’attaquant sur son terrain (la porte, le coffre), on déplace le combat sur le vôtre (ce que contient l’appareil et comment il communique).

Concrètement, cela se traduit par trois principes. Premier principe : ce qui n’est pas dans la chambre ne peut pas être pris dans la chambre. L’appareil que vous emportez ne doit contenir que ce dont la mission a besoin, et rien de la mémoire opérationnelle de l’organisation. Synchronisation à la demande plutôt que copie locale complète, dossier « Téléchargements » vidé, historiques de messagerie purgés. Un laptop qui ne contient rien de sensible transforme un clonage réussi en non-événement. C’est le levier le plus puissant, et le moins cher : il ne demande aucun matériel, juste de la discipline avant le départ.

Deuxième principe : l’appareil quitté est un appareil éteint et chiffré, jamais en veille. L’attaque sur disque chiffré ne fonctionne pas contre une machine éteinte dont le chiffrement intégral est actif, parce que la clé n’est nulle part en mémoire. Vous quittez la chambre, vous éteignez — vraiment, pas « fermer le capot ». Le câble antivol n’arrête pas un professionnel avec dix minutes, mais il élimine l’accès opportuniste et signale que vous n’êtes pas une cible facile, ce qui suffit à réorienter un attaquant vers la chambre d’à côté. Pour les déplacements à enjeu réel, l’appareil ne reste pas dans la chambre : il vous accompagne.

Troisième principe : le canal de communication ne passe jamais par l’hôtel pour ce qui compte. Le Wi-Fi de l’établissement est réservé aux usages exposables sans conséquence — lire la presse, regarder un film. Tout ce qui touche aux systèmes de l’entreprise passe par une eSIM locale ou le partage de connexion du téléphone, avec un VPN activé avant de toucher le moindre réseau. Le réflexe à inverser est celui du « je me connecte d’abord, je lance le VPN ensuite » : entre les deux, votre trafic en clair a déjà transité par le réseau de l’hôtel, et c’est précisément le moment qu’un MITM attend. L’ordre correct est inviolable : VPN d’abord, réseau ensuite.

Ces trois principes ont une vertu commune : ils ne dépendent pas de la qualité de l’hôtel. Un palace cinq étoiles à la sécurité physique impeccable et un établissement de chaîne sans personnel de nuit posent le même problème de fond, parce que le problème n’est pas le niveau de gamme mais la nature de la relation. Vous êtes locataire temporaire d’un espace géré par un tiers, point. Cesser d’évaluer le risque à l’aune du standing de l’établissement — « c’est un bon hôtel, ça va aller » — est la moitié du chemin. L’autre moitié, c’est d’accepter que ces gestes deviennent une routine et non une décision à reprendre à chaque voyage. La sécurité qui dépend d’un arbitrage répété finit toujours par céder à la fatigue ; celle qui est devenue un automatisme tient.

Les conversations et les salles de réunion

Le volet le plus négligé de la sécurité hôtelière n’est pas l’appareil, c’est ce qui sort de votre bouche. En pays occidental, pour un profil non spécifiquement ciblé, le risque de micro dans une chambre est faible — pas nul, mais pas la menace prioritaire. En juridiction à interception mature, c’est une autre histoire : les chambres et suites fréquentées par des délégations d’affaires étrangères sont des cibles d’intérêt connues, et des cas documentés de captation existent. Le coût d’une conversation sensible mal placée est asymétrique : ce que vous dites à voix haute ne se chiffre pas, ne se sauvegarde pas, ne se rattrape pas.

La télévision connectée mérite une mention particulière, parce qu’elle est dans toutes les chambres et que personne ne la regarde comme une menace. Les fabricants de smart TV ont des antécédents documentés de captation audio — l’affaire Samsung de 2015, où la politique de confidentialité avertissait littéralement de ne pas tenir de conversation sensible devant le téléviseur, n’est que la plus célèbre. Dans une chambre d’hôtel, vous n’avez aucun contrôle sur le firmware, la configuration ou les éventuelles modifications de l’appareil. Le réflexe minimal : débrancher physiquement la télévision quand vous travaillez sur un sujet sensible, ou au minimum la considérer comme un microphone potentiel.

Les salles de réunion d’hôtel concentrent les deux risques. Les systèmes audiovisuels intégrés — micros de table, visioconférence — sont gérés par le personnel ou un prestataire, et dans un contexte à risque ils peuvent être configurés pour une captation discrète sans que vous puissiez le détecter. Le matériel de présentation est tout aussi piégeux : brancher votre laptop sur le port HDMI d’un écran de salle, c’est le connecter à une chaîne de confiance que vous n’avez pas auditée, et des adaptateurs HDMI modifiés capables d’exfiltrer des données ont été observés dans des contextes d’espionnage économique ciblé. La règle pour une réunion qui compte : présentez depuis votre propre écran, partagé sur votre propre point d’accès, sans rien brancher sur les systèmes de la salle. Pour les échanges vraiment confidentiels, sortez — une terrasse de café, un parc, un trajet à pied. Un espace public ouvert offre de meilleures conditions de protection qu’une salle fermée dont vous ne contrôlez aucun équipement, parce que le bruit ambiant et l’imprévisibilité du lieu compliquent la captation ciblée.

Ce que ça implique concrètement

Pour vous, en tant que personne

Trois gestes, applicables dès le prochain déplacement, sous la barre des 200 euros au total.

Éteignez l’appareil, ne le mettez pas en veille — et oubliez le coffre. Avant de quitter la chambre, extinction complète du laptop dont le disque est chiffré (FileVault, BitLocker ou LUKS, à vérifier, pas à supposer). Le coffre ne protège rien qui vaille la peine d’être protégé : si une donnée est vraiment sensible, elle ne doit pas être dans la chambre du tout. Idéalement, l’appareil vous accompagne. Sinon, câble antivol et machine éteinte. Coût : 0 à 25 euros pour un câble.
Wi-Fi hôtel interdit pour tout ce qui compte, eSIM + VPN pour le reste. Achetez une eSIM locale (Airalo, Holafly, ou l’offre internationale de votre opérateur) et activez votre VPN avant de vous connecter à quoi que ce soit. Le Wi-Fi de l’établissement ne sert qu’à des usages que vous accepteriez de voir publiés. Coût : 5 à 30 euros pour l’eSIM, le VPN est souvent déjà inclus dans vos abonnements.
Débranchez les comptes, glissez vos cartes dans une pochette anti-RFID. Déconnectez de l’appareil de voyage les comptes cloud que vous n’utiliserez pas (photos de famille, mail secondaire, dossiers pro inutiles). Une pochette ou un portefeuille anti-RFID (15 à 30 euros) protège vos cartes bancaires et votre passeport biométrique d’une lecture à distance dans un hall bondé — et accessoirement, ne laissez jamais traîner votre carte d’accès à la chambre, on la clone en deux secondes.

Pour vous, RSSI / DSI / dirigeant

La sécurité hôtelière est structurellement faible, et la vulnérabilité Unsaflok de 2024 l’a démontré à l’échelle de millions de portes. Ce n’est pas une anecdote de conférence : c’est la confirmation que vous ne pouvez pas externaliser la confiance vers l’hôtelier. Votre politique de voyage doit le coder explicitement.

1. La politique de voyage doit traiter l’hôtel comme un environnement non fiable par défaut. Tant que la chambre est implicitement considérée comme « sûre », vos collaborateurs y laisseront du matériel et y tiendront des conversations sensibles. La règle doit être écrite : aucun appareil contenant des données critiques ne reste sans surveillance, aucune réunion confidentielle dans une chambre en juridiction à risque. Conséquence directe : vous inscrivez l’hôtel dans le périmètre de votre ISO 27001 au même titre que le poste de travail, avec des mesures auditables par niveau de pays.

2. Le clean desk s’applique aussi en déplacement, et c’est techniquement vérifiable en amont. Un appareil de voyage qui ne contient que le strict nécessaire transforme un clonage en non-événement. Cela suppose une synchronisation à la demande, des historiques de messagerie bornés, et un poste de voyage provisionné. Conséquence directe : pour les déplacements de niveau élevé, vous fournissez une image de voyage dédiée plutôt que la machine de production, et vous ouvrez un ticket de réponse à incident de retour avant même le départ.

3. Le déclenchement de la mesure doit être automatique, pas laissé à la vigilance individuelle. Personne ne consulte spontanément la procédure avant de réserver. Le signal doit partir de la réservation ou de la note de frais et alerter l’IT pour les destinations sensibles. Conséquence directe : vous branchez un déclencheur sur l’outil de réservation corporate, avec une alerte vers le SOC dès qu’une destination à interception mature est détectée, et un brief obligatoire avant départ.

Erreurs qu’on voit tout le temps

Laisser le laptop en veille dans le coffre. Cumul de deux illusions : le coffre s’ouvre en quelques minutes, et la veille laisse la clé de chiffrement exploitable. Une machine éteinte dans le sac que vous emportez vaut mieux qu’une machine en veille dans le meilleur coffre du monde.
Croire que la porte fermée garantit l’intimité. La serrure RFID est un produit de commodité, pas un dispositif de sécurité. Unsaflok l’a prouvé sur des millions de portes. Vous ne saurez jamais si quelqu’un est entré.
Tenir une conversation confidentielle dans la chambre en pays à risque. La télévision connectée, les équipements intégrés, et parfois les murs ne sont pas de votre côté. Les discussions sensibles se tiennent dehors, dans un espace public non isolé où les conditions d’écoute sont défavorables.
Brancher son laptop sur le port HDMI de la salle de réunion « juste pour la présentation ». Vous branchez sur une chaîne de confiance que vous ne contrôlez pas. Présentez depuis votre propre écran, partagé sur votre propre point d’accès.
Utiliser le Wi-Fi de l’hôtel pour accéder aux systèmes d’entreprise. Réseau partagé, prestataire opaque, segmentation douteuse : c’est un Wi-Fi public avec un logo plus chic. eSIM et VPN, sans exception, pour tout ce qui est professionnel.
Imprimer un document sensible sur le matériel de l’hôtel. Les imprimantes et photocopieuses conservent en mémoire les derniers fichiers, souvent en clair. Dans un établissement fréquenté par des délégations d’affaires, cette mémoire est une mine pour qui y a accès.

Checklist actionnable

N1 Éteindre complètement le laptop en quittant la chambre (jamais en veille)
N1 Ne rien laisser de sensible dans le coffre — il n'est pas sûr
N1 Câble antivol sur le laptop pour les usages à faible enjeu
N1 Carte d'accès jamais laissée sans surveillance (clonable en secondes)
N1 Pochette anti-RFID pour cartes bancaires et passeport biométrique
N2 Wi-Fi hôtel réservé aux usages non sensibles uniquement
N2 eSIM locale + VPN activé avant toute connexion pour l'usage pro
N2 Comptes cloud inutiles déconnectés de l'appareil de voyage
N2 Dossier Téléchargements et historiques de messagerie purgés avant départ
N2 Aucune impression de document confidentiel sur le matériel de l'hôtel
N2 Aucun branchement sur les ports HDMI/USB des équipements de la chambre
N3 Appareil de voyage dédié (image propre) pour les destinations à risque
N3 Aucune conversation confidentielle dans la chambre en juridiction à risque
N3 Présentations depuis son propre écran, sans brancher sur la salle
N3 Hypothèse d'accès retenue au retour : isolation et scan avant rebranchement réseau

Pour aller plus loin

La recherche Unsaflok (unsaflok.com) documente en détail la chaîne de failles des serrures RFID Saflok, son ampleur — plus de trois millions de portes dans 166 pays — et l’état lent du déploiement des correctifs ; à lire pour mesurer que la faiblesse n’est pas théorique. Le talk associé à DEF CON 32 montre la mécanique d’exploitation. Côté défense individuelle, le guide Surveillance Self-Defense de l’EFF (ssd.eff.org) reste la meilleure entrée gratuite sur les vecteurs physiques et réseau, et l’ANSSI publie un passeport de conseils aux voyageurs court et factuel, trop souvent ignoré. Le billet fondateur de Joanna Rutkowska sur l’attaque evil maid (2009) explique pourquoi une machine en veille n’est pas une machine protégée.

Pour relier l’hôtel au reste du cycle de déplacement : la préparation pré-départ explique comment provisionner un appareil qui ne livre rien même cloné ; frontières et douanes traite du moment où la confiscation devient légale ; et voyager en Chine détaille le cas des juridictions à interception mature, où l’hypothèse d’accès à la chambre cesse d’être une précaution pour devenir une certitude opérationnelle.