Selon un chercheur en sécurité, plus de 215 000 webcams Wi-Fi sont vulnérables à une série de failles exploitables à distance. Tout porte à croire que c’est le fabricant originel qui les a introduites, même s'il n'est pas dit que ces ajouts sont intentionnels.
C’est le chercheur Pierre Kim qui a tiré la sonnette d’alarme. Initialement, il inspectait un rapport portant sur une faille de sécurité dans une webcam Wi-Fi quelconque. Un modèle blanc, sans fioriture, sans réellement de marque apparente non plus. En enquêtant, il a cependant découvert que ce modèle est bien loin d’être unique.
Il est remonté jusqu’à un produit fabriqué par une entreprise chinoise qui n’est pas nommée. Un modèle générique, nommé « Wireless IP Camera (P2P) WIFICAM » et conçu pour être repris et adapté par d’autres, ou simplement pour y coller un nouveau nom avant de la mettre sur le marché. Le chercheur a découvert que ce produit avait été repris et commercialisé sous presque 1 250 références, pour un total de 215 000 webcams en circulation.
Des failles de sécurité impressionnantes
Or, les possesseurs de ces appareils sont actuellement en danger, car ce n’est pas une, mais sept failles qui y sont en fait présentes. Telnet est ainsi actif par défaut et n’importe qui peut se connecter à la webcam en utilisant un identifiant donné par le chercheur. Il est même possible de contourner le mécanisme d’authentification en utilisant des paramètres vides pour « loginuse » et « loginpas », ce qui permet de récupérer les fichiers de configuration, contenant les identifiants et les comptes FTP/SMTP.
Les autres dangers sont tout aussi flagrants. Par exemple, une adresse spécifique accompagnée des bons paramètres permet d’aller exécuter du code avec des droits root, sans authentification. Un pirate peut également se connecter à un flux actif en joignant le serveur RTSP sur le port 10554, sans authentification encore une fois. En outre, un protocole « cloud » permet de gérer la caméra depuis Internet, via un tunnel UDP en texte clair (non chiffré). Or, il peut être détourné pour lancer des attaques par force brute afin d’obtenir les identifiants.
Des webcams à débrancher tout de suite
Pierre Kim a publié une liste complète des 1 250 modèles environ concernés par ces failles. Si d’aventure vous utilisiez l’un de ces appareils, le chercheur est formel : vous devez déconnecter aussi rapidement que possible cet appareil et ne plus l’utiliser, le danger pour la vie privée étant trop important.
Notez toutefois que ce n’est pas la première fois que ces caméras attirent le regard. Bleeping Computer, qui rapporte les faits, indique en effet avoir été contacté par un autre chercheur, Amit Serper. Travaillant pour Cybereason, il a indiqué que cette société avait déjà remarqué des soucis de sécurité dès 2014. Même chose pour la société SSD, qui a trouvé d’autres problèmes. Point intéressant, les failles ne sont pas les mêmes à chaque fois, mais les conséquences sont équivalentes.
Dans tous les cas, les chercheurs ont à chaque fois contacté Embedthis Software, éditeur du serveur web GoAhead, dans lequel se trouvent la plupart des failles. La réponse a été systématiquement la même : ces failles ne se trouvent pas dans la version classique du serveur web. Seule explication, le constructeur a lui-même modifié le code et a introduit les vulnérabilités, volontairement ou non.
Le dur chemin de la sécurisation des objets connectés
Autre point important, Pierre Kim a choisi – comme Cybereason en 2014 – de créer un rapport public sur ses découvertes afin de prévenir des dangers potentiels. Cybereason a pour sa part attendu fin 2016, l’élément déclencheur étant la vague de piratages des caméras connectées par Mirai, qui s’est depuis attaqué à d’autres catégories d’objets. C’est la puissante attaque distribuée contre Dyn qui a poussé l’entreprise de sécurité à sortir de sa réserve.
Car encore une fois, ce type de découverte montre que la sécurité globale des objets connectés laisse plus qu’à désirer. Récemment, Consumer Reports a même annoncé que ce point serait désormais intégré dans ses tests, tout comme le respect de la vie privée. Le magazine cherche à créer avec des partenaires un nouveau standard permettant d’obtenir une notation claire sur ce point, mais la route vers un IoT sécurisé semble encore bien longue.
Commentaires (45)
#1
Cela pourra être patcher vu que c’est du binaire.
" />
" />
Dans son cas à elle, c’est mission impossible : http://www.huffingtonpost.fr/2017/03/13/kellyanne-conway-la-conseillere-de-donald-trump-assure-que-les/
#2
Ça sera mieux quand Windows sera utiliser pour les vrais objets connectés, pas que des microPC
" />
" />
" />
En attendant, Vincent tu prêtes ta sword pour exploser ces caméras ?
#3
J’imagine que c’est l’UPNP qui permet à tous ces objets connectés d’être visibles sur internet ?
C’est une porte d’entrée connue depuis des années et les risques vont nettement augmenter avec tous ces appareils avec vulnérabilités.
Les opérateurs pourraient désactiver UPNP globalement sur les routeurs clients gérés (la plupart donc) pour éviter tout souci, non ?
#4
Et encore, imagine avec l’IPv6 par défaut ensuite… déjà que ces engins sont insecures, mais ils n’auront jamais un pare-feu bien configuré, ça fera de sacrés poubelles sur Internet.
#5
je ne vois pas où est le problème.
Si un mec installe une webcam c’est bien pour être filmé non ?
Si il est filmé c’est bien pour que quelqu’un le voit non ?
Et bien là il sera vu par des milliers, des millions, des milliards de personnes en chine ou ailleurs.
Que veut-il de plus ? des applaudissements ?
#6
Je possède deux caméras du genre. Telnet ouvert, root/6666666 par défaut. Communication avec de sombres serveurs Amazon S3, de base. Si on utilise un ? dans le mot de passe, ça flanque tout par terre vu que les mots de passe passent en clair dans certaines URL. C’était joyeux à déballer.
" />
J’ai bloqué tout le trafic sortant pour ces deux engins, j’y accède depuis l’extérieur via mon VPN. A priori, ça devrait suffire.
#7
#8
#9
Le mieux serait encore de porter OpenWRT sur ces devices, vu que dans la plupart des cas ils utilisent un processeur assez courant.
#10
Eh merde… Les D-Link sont touchées…
" />
Il va falloir que je regarde s’il est possible de sécuriser au niveau BBox
#11
Oui tu peux espionner avec des micro-ondes (signal) mais pas avec un micro-onde (four).
Et pour ce que j’en ai lu, elle parlait microwaves et pas de oven (four)
#12
#13
Bof, pour les cam de surveillances je me souviens du “scandale” il y a quelques années : une simple recherche Google permettait de trouver des tas d’accès aux interfaces des cam, et beaucoup avec le mdp par défaut
" />
" />
" />
J’ai tenté et je m’étais retrouvé avec les commandes d’une caméra PTZ (motrice) dans le jardin d’une maison
Les objets connectés ont plein de failles, mais l’utilisateur en introduit de lui même aussi
#14
#15
le combat entre la cuisinière et le micro-onde est plutôt épique
" />
#16
#17
Oui c’est clair… et qund l’ipv6 va se démocratiser on va avoir des tas de news sur des bots massifs s’il n’y a pas un resserrage concret de la sécurité.
#18
#19
#20
Les objets connectés seront dans le futur un excellent moyen pour les gouvernements de surveiller les foules.
" />
Le top c’est que les gens les achèteront eux même “parce que c’est la mode”. Comme les smartphones…
Puis, les gouvernements passeront des lois exigeant des backdoors “pour votre bien”.
Comme d’habitude, 3 geeks hurleront, mais la majorité des gens s’en foutront parce que tout le monde sait très bien que c’est pour notre sécurité à tous
Pour ma part, tout ce qui n’aura pas un firmware en logiciel libre sera interdit chez moi.
Et si vous avez peur des cambrioleurs, un bon vieux clébard s’avère bien plus efficace.
#21
Arf tu m’as sorti les mots de la bouche
" />
" />
#22
#23
C’est beau l’IoT …
Ils ont une cervelle les mecs qui développent ces trucs, où bien ?
#24
#25
#26
#27
Ce qui est flippant, c’est de voir qu’il y a des marques parfois “plus fiable” et plus chères que d’autres dans le listing… Il est clair qu’ayant acheté des caméras en direct de Chine, on y gagne largement sur le prix, mais je me doutais qu’il pouvait y avoir des risques de sécurité (d’office, le dyndns livré en même temps, ça fait poser des questions). J’allais dire que l’on achète en connaissance de cause, mais quand je revois les marques, ça confirme surtout qu’en effet, on fabrique pour pas cher et on colle une étiquette dessus!
J’avais agit de base, dès l’installation, désactivation des accès à Internet, bloquer les ports, accepter qu’un seul port (modifié) en interne… C’est mon Syno qui est connecté à Internet et qui m’envoie les infos de mes caméras. Cependant, même si j’espère ne rien avoir oublié, j’ai toujours la question à savoir si je suis OK, et ce n’est pas donné à tout le monde de savoir paramétrer son réseau… J’imagine le nombre de caméras touchées dans le monde…
Un bon souvenir des caméras Trend, où il suffisait de rechercher la page de la webcam sur google, on avait toutes les IP publiques avec l’accès direct, sans code…
#28
#29
Mettre une caméra IP en IP publique, c’est rare. On les met plutôt derrière un routeur et je n’ai pas ouvert et redirigé le port 23 sur caméra IP pour voir ce ça donne …
Avant de la connecter, j’avais certes gardé le même identifiant mais changé le mot de passe.
J’ai regardé la liste les cam IP Tenvis y figurent mais la 2013. Ça ne veut pas dire pour autant qu’elle soit sécurisée …
#30
#31
#32
mais encore?….. expliques stp
Car, à part faire de la detection de presence / intrusion (via generateur et capteur micro onde), detection de niveau et un peu de mesure (sans contact), je vois pas ce que tu peux espionner….
#33
#34
#35
#36
#37
#38
J’ai également deux de ces caméras (des Wansview il me semble, payées 15€ pièce c’est pour dire…), et dès la mise en route je me suis rendu compte que l’équivalent chinois de DynDNS était activé et non configurable, ainsi que la connexion à un compte Gmail rentré en dur…J’ai donc empêché le trafic entrant et sortant des adresses MAC des caméras sur le WAN de mon routeur sous OpenWRT, elles sont sur un SSID dédié, j’ai désactivé toutes les fonctionnalités des caméras et c’est mon Synology qui gère tout de lui même
" />. Je suis encore plus rassuré d’avoir réagi comme ça quand je vois l’étendu des failles !
#39
Bien fait d’avoir revendu mon Hedecam pour une MyFox avec clapet.
Par contre je vois la logitech C920… c’est une webcam pour PC, donc pas d’accès depuis le net normalement? Elle n’a pas de connexion WIFI ou RJ45.
#40
root/6666666 c’est typique de Dahua , constructeur chinois qui revend aussi en marque blanche. Récemment le gros botnet qui à DDOS pas mal de siteq était constitué en grosse partie de leur caméra …
En terme de vidéo surveillance , il faut fuire les caméras chinoises. Elle sont en générale pleines de backdoor
#41
http://www.numerama.com/magazine/14136-des-ondes-wi-fi-pour-voir-a-travers-les-murs.html(bon “voir” est grandement exagéré)
#42
Ouf, j’ai trois D-Link DCS-933L et elles sont pas dans la liste
" />
" />
Par contre, question : Comment ces caméras (dont l’accès est déjà protégé par mot de passe) peuvent-elles être piratées si elles sont branchées sur un routeur lui aussi protégé par mot de passe ?
Dans cette configuration, si en plus le routeur ne permet pas dans sa configuration les connections provenant d’internet, je vois pas comment la prise de contrôle de ces caméras peut être possible ?!
#43
Je note que pour ma webcam estampillée wansview ncb541w qui selon le chercheur serait faillible est en réalité jusqu’à preuve du contraire SAFE, c’est ce qu’il ressort après avoir voulu tester les exploits.
Déjà au départ j’avais changé le port http 80 en 8080, c’est une piste pour limiter le risque, changer le port par défaut en quelque chose de plus exotique, il y a du choix et ça ferme la porte à beaucoup de curieux.
Ensuite on peut désactiver le dyndns du constructeur dans la page de configuration, il suffit d’effacer l’alias et de valider, ensuite c’est indiqué ANONYME. Donc là aussi terminé.
J’ai également testé la possibilité de voir le flux avec VLC comme expliqué dans l’article, pareil nada, il y a une demande d’authentification. Donc bullshit.
Le port 25 n’est pas ouvert par le telnetd, bullshit encore.
J’ai passé nmap et en dehors du port http c’est 100% closed
J’ai testé tout cela local, alors si quelqu’un veut s’amuser à contourner le pare-feu de la box (le telnet n’est pas upnp d’ailleurs) et faire du brute force pour l’authentification, pourquoi pas.
Wait and see LOL
#44
#45