Selon un chercheur en sécurité, plus de 215 000 webcams Wi-Fi sont vulnérables à une série de failles exploitables à distance. Tout porte à croire que c’est le fabricant originel qui les a introduites, même s'il n'est pas dit que ces ajouts sont intentionnels.
C’est le chercheur Pierre Kim qui a tiré la sonnette d’alarme. Initialement, il inspectait un rapport portant sur une faille de sécurité dans une webcam Wi-Fi quelconque. Un modèle blanc, sans fioriture, sans réellement de marque apparente non plus. En enquêtant, il a cependant découvert que ce modèle est bien loin d’être unique.
Il est remonté jusqu’à un produit fabriqué par une entreprise chinoise qui n’est pas nommée. Un modèle générique, nommé « Wireless IP Camera (P2P) WIFICAM » et conçu pour être repris et adapté par d’autres, ou simplement pour y coller un nouveau nom avant de la mettre sur le marché. Le chercheur a découvert que ce produit avait été repris et commercialisé sous presque 1 250 références, pour un total de 215 000 webcams en circulation.
Des failles de sécurité impressionnantes
Or, les possesseurs de ces appareils sont actuellement en danger, car ce n’est pas une, mais sept failles qui y sont en fait présentes. Telnet est ainsi actif par défaut et n’importe qui peut se connecter à la webcam en utilisant un identifiant donné par le chercheur. Il est même possible de contourner le mécanisme d’authentification en utilisant des paramètres vides pour « loginuse » et « loginpas », ce qui permet de récupérer les fichiers de configuration, contenant les identifiants et les comptes FTP/SMTP.
Les autres dangers sont tout aussi flagrants. Par exemple, une adresse spécifique accompagnée des bons paramètres permet d’aller exécuter du code avec des droits root, sans authentification. Un pirate peut également se connecter à un flux actif en joignant le serveur RTSP sur le port 10554, sans authentification encore une fois. En outre, un protocole « cloud » permet de gérer la caméra depuis Internet, via un tunnel UDP en texte clair (non chiffré). Or, il peut être détourné pour lancer des attaques par force brute afin d’obtenir les identifiants.
Des webcams à débrancher tout de suite
Pierre Kim a publié une liste complète des 1 250 modèles environ concernés par ces failles. Si d’aventure vous utilisiez l’un de ces appareils, le chercheur est formel : vous devez déconnecter aussi rapidement que possible cet appareil et ne plus l’utiliser, le danger pour la vie privée étant trop important.
Notez toutefois que ce n’est pas la première fois que ces caméras attirent le regard. Bleeping Computer, qui rapporte les faits, indique en effet avoir été contacté par un autre chercheur, Amit Serper. Travaillant pour Cybereason, il a indiqué que cette société avait déjà remarqué des soucis de sécurité dès 2014. Même chose pour la société SSD, qui a trouvé d’autres problèmes. Point intéressant, les failles ne sont pas les mêmes à chaque fois, mais les conséquences sont équivalentes.
Dans tous les cas, les chercheurs ont à chaque fois contacté Embedthis Software, éditeur du serveur web GoAhead, dans lequel se trouvent la plupart des failles. La réponse a été systématiquement la même : ces failles ne se trouvent pas dans la version classique du serveur web. Seule explication, le constructeur a lui-même modifié le code et a introduit les vulnérabilités, volontairement ou non.
Le dur chemin de la sécurisation des objets connectés
Autre point important, Pierre Kim a choisi – comme Cybereason en 2014 – de créer un rapport public sur ses découvertes afin de prévenir des dangers potentiels. Cybereason a pour sa part attendu fin 2016, l’élément déclencheur étant la vague de piratages des caméras connectées par Mirai, qui s’est depuis attaqué à d’autres catégories d’objets. C’est la puissante attaque distribuée contre Dyn qui a poussé l’entreprise de sécurité à sortir de sa réserve.
Car encore une fois, ce type de découverte montre que la sécurité globale des objets connectés laisse plus qu’à désirer. Récemment, Consumer Reports a même annoncé que ce point serait désormais intégré dans ses tests, tout comme le respect de la vie privée. Le magazine cherche à créer avec des partenaires un nouveau standard permettant d’obtenir une notation claire sur ce point, mais la route vers un IoT sécurisé semble encore bien longue.
