Multiples failles pour les caméras de sécurité Dropcam

Deux chercheurs en sécurité préviennent que les caméras de sécurité fournies par la société DropCam ne sont pas protégées comme elles le devraient. En cas d’accès physique, elles peuvent être modifiées et leur usage peut donc être détourné, espionnant les personnes qu’elles sont censées protéger.

De l'alliée à l'ennemie 

DropCam est une entreprise rachetée par Nest (et donc par Google) pour 555 millions de dollars. Elle fournit des caméras de sécurité et d’autres produits qui doivent protéger la maison ou permettre une surveillance de certains objets. Celles-ci sont vendues entre 149 et 199 dollars, notamment en fonction de la qualité de l’enregistrement vidéo qu'elles proposent. Les caisses de l’entreprise sont ensuite alimentées par les abonnements payés par les utilisateurs pour disposer d’un hébergement en ligne, afin d’y stocker les enregistrements contre 10 à 30 dollars par mois.

Mais Patrick Wardle et Colby Moore, deux chercheurs en sécurité, avertissent désormais que les caméras ne sont pas exemptes de failles de sécurité, ce qui les rend vulnérables à certaines modifications. Ils ont procédé à une ingénierie inverse et ont trouvé des brèches qui pourraient permettre d’y implanter des logiciels malveillants ainsi que de fausses vidéos. Ces dernières pourraient masquer ainsi l’activité des pirates.

Sensibles à la faille Heartbleed 

Et non seulement les caméras ne sont pas exemptes de défauts, mais les logiciels internes ont clairement besoin de mises à jour. Wardle et Moore précisent en effet qu’elles embarquent une ancienne version de l’extension Heartbeat pour le protocole OpenSSL, sensible à la faille Heartbleed. Et si les utilisateurs sont donc exposés à une exploitation de la faille, même les serveurs de DropCam n’ont selon eux pas été mis à jour non plus. En clair, les communications sensément chiffrées peuvent afficher les mots de passe et autres données sensibles.

Pour les chercheurs, les Dropcam ont les moyens de devenir des alliés empoisonnés. Une fois piratées, les caméras peuvent en théorie être utilisées pour visiter le contenu des ordinateurs auxquels elles sont raccordées.

Pour l’instant, très peu de détails techniques ont réellement été donnés. Cependant, pour prouver leurs dires, Patrick Wardle et Colby Moore feront une démonstration le 10 août prochain lors de la fameuse conférence DEFCON.