Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Des caméras connectées Foscam aux failles de sécurité béantes

(Sigh...)
Internet 5 min
Des caméras connectées Foscam aux failles de sécurité béantes

Des chercheurs pointent du doigt les caméras connectées du constructeur chinois Foscam, qui intègrent en dur un mot de passe, exploitable évidemment à des fins malveillantes. Une situation qui ne fait que se répéter et braque à nouveau les projecteurs sur le manque évident de sécurité dans certains périphériques du quotidien.

Dans un long rapport publié mercredi soir, la société F-Secure, plus connue pour son antivirus, s’en prend à Foscam. Basée en Chine, cette entreprise vend des caméras connectées, en nom propre comme en marque blanche (modèles vendus chez Thomson, Opticam, Netis, Qcam, Sab…). Problème, F-Secure lui a signalé un lot conséquent de 18 failles de sécurité il y a plusieurs mois, sans que le constructeur réagisse. D’où la publication d’une longue explication sur les soucis constatés.

Des problèmes qui rappellent combien la sécurité des objets connectés n’est souvent que peu considérée par les sociétés qui les produisent, tant les cas de ce genre sont fréquents. Le rappel massif de caméras XiongMai, avec identifiants écrits en dur, en était le symbole décadent.

Divers soucis, dont un identifiant codé en dur

Pour F-Secure, la sécurité des caméras Foscam est intégralement à revoir. Le nombre de vulnérabilités est élevé, mais il surtout impressionnant de voir que des objets connectés vendus en 2017 réussissent encore à rassembler deux des pires défauts possibles : des identifiants non seulement inscrits en dur dans le code des webcams, mais également très faibles. Et pour cause, il n’y a même pas de mot de passe.

On commence donc avec une porte d’entrée grande ouverte pour les pirates et autres agences de renseignement. Les identifiants sont simples à deviner et ne peuvent pas être changés. Ils sont là pour permettre une connexion à l’interface d’administration et l’émission d’un flux sur Internet. Une faille de sécurité particulièrement connue et qui n’a rien de nouveau.

Une conjonction possible de plusieurs failles

Le problème augmente avec les autres vulnérabilités. Si les pirates peuvent se connecter facilement, ils ont aussi la capacité d’exécuter du code arbitraire. En effet, ils peuvent très facilement obtenir des droits en écriture et des privilèges maximum, leur permettant alors de réaliser à peu près n’importe quoi.

Le modèle Opticam i5 HD semble être le plus touché, mais la C2 contient également des failles, F-Secure indiquant que les autres webcams n’ont pas de raison d’être moins concernées. L’éditeur estime qu’il faut considérer que toutes les webcams connectées du constructeur peuvent être piratées, le problème augmentant encore avec des failles supplémentaires et un client Telnet masqué.

Les pirates potentiels ont tellement d’outils à disposition qu’il s’agit presque d’un cas d’école.

Les choix offerts aux pirates

Un individu armé de mauvaises intentions n’aurait que l’embarras du choix. L’attaque la plus évidente est de prendre le contrôle de la webcam et donc de détourner un flux vidéo à des fins d’espionnage. Il est même possible de remplacer intégralement le firmware des webcams par des créations maison, afin d’implanter définitivement la porte dérobée qui permettra ensuite de se connecter plus facilement, et surtout de manière automatisée.

Car il est évidemment faisable d’exploiter ces faiblesses pour faire entrer les webcams connectées dans des botnets. C’est précisément de cette manière que le malware Mirai a contaminé des centaines de milliers d’objets connectés, profitant allègrement du manque de sérieux sur la sécurité pour constituer d’immenses groupes d’objets zombies, capables ensuite de lancer de grandes attaques distribuées par déni de service (DDoS), comme on l’avait vu avec Dyn.

F-Secure explique notamment que trois vulnérabilités principales peuvent être réunies rapidement pour exécuter à peu près tout et n’importe quoi : l’absence de mot de passe sans possibilité d’en mettre un sur le serveur FTP interne, la fonction Telnet « secrète » et des permissions incorrectes permettant de relancer des scripts à chaque fois que la webcam démarre.

Un problème bien trop récurrent

Dans l’état actuel des choses, F-Secure ne peut que recommander le débranchement de ces webcams, car il n’existe aucune mesure de protection réellement efficace pour se protéger des éventuelles retombées.

Le problème est malheureusement courant, l'agence de cybersécurité européenne préconisant notamment l'utilisation de labels, avec un niveau minimal de sécurité. Elle rejoint la Commission européenne et l'ANSSI française sur ce dossier, comme nous l'affirmait cette dernière il y a quelques jours. L'auto-certification est l'une des pistes privilégiées.

Bien que le sujet de la sécurité des objets connectés ait été largement relancé par Mirai (comme celui des failles stockées par les États a été propulsé à nouveau par WannaCrypt), les rapports publiés par les sociétés concernées vont souvent dans la même direction. La situation est ubuesque tellement les défauts constatés sont conséquents, comme si les fabricants ne pouvaient pas appliquer les règles les plus élémentaires dans ce domaine.

La situation est particulièrement dangereuse dans la mesure où les clients, pour beaucoup, ne sont pas sensibilisés aux problématiques de sécurité. Tous ces produits sont vendus avec un marketing orienté sur la simplicité : on branche puis on utilise. Il y a une confiance inhérente dans ces périphériques qui sont censés fournir une expérience ludique sans s’y connaître particulièrement en informatique.

Il est donc délicat de demander aux acheteurs de vérifier ces points précis, car ils ne sont pas mis en avant. Ils devraient ainsi contrôler que le mot de passe n’est pas inscrit en dur, qu’il peut être modifié, que le produit n’intègre pas de composants masqués et que les fonctionnalités n’ont pas été ajoutées en dépit du bon sens, sans tenir compte de règles que l’on peut très clairement qualifier de basiques.

Actuellement, et on ne le répètera jamais assez, la route semble encore bien longue, comme l'indiquait notamment Mozilla en janvier dernier. Foscam n'a pour sa part pas encore réagi.

32 commentaires
Avatar de Aloyse57 Abonné
Avatar de Aloyse57Aloyse57- 09/06/17 à 12:25:13

Signaler ce commentaire aux modérateurs :

Je n'ai que des Foscam chez moi et c'est évident que la sécurité de ses appareils n'ont jamais été leur point fort. Il suffit de voir les clones disponibles sur le marché.
Technologiquement, elles sont bonnes, et surtout la marque est pérenne.
Mais pour le reste, elles bavent (j'ai surpris plusieurs fois des communications la nuit vers des dns extérieurs), donc j'ai bloqué au niveau de mon parefeu toutes les WAN des IPS de mes caméras.

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 09/06/17 à 12:43:05

Signaler ce commentaire aux modérateurs :

Qui dit IoT (et autre machin IP), dit routeur/firewall personnel (à coller juste après la box).

Les box Internet sont vraiment trop minimalistes en matière de sécurité domestique.

Avatar de bigcheek INpactien
Avatar de bigcheekbigcheek- 09/06/17 à 12:47:37

Signaler ce commentaire aux modérateurs :

Bonjour,
Peux-tu en dire plus sur ce que tu as fais pour bloquer toutes les WAN s'il te plaît ?

Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 09/06/17 à 12:51:27

Signaler ce commentaire aux modérateurs :

127.0.0.1 a écrit :

Qui dit IoT (et autre machin IP), dit routeur/firewall personnel (à coller juste après la box).

Les box Internet sont vraiment trop minimalistes en matière de sécurité domestique.

L'autre soucis c'est que les gens ont déjà du mal à comprendre le concept de mot de passe alors paramétrer un firewall .... ou alors il faudrait leur faire des scrolls

Avatar de keralan INpactien
Avatar de keralankeralan- 09/06/17 à 13:13:50

Signaler ce commentaire aux modérateurs :

Idem, ma foscam est bannie de connexion au net via le routeur. Accessible uniquement en LAN.

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 09/06/17 à 13:18:18

Signaler ce commentaire aux modérateurs :

J'avoue que les listes de règles allow/deny sont tout sauf digestes pour les néophytes.

Mais y a eu du progrès de ce coté, comme par exemple "NETGEAR genie".

Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 09/06/17 à 13:19:58

Signaler ce commentaire aux modérateurs :

127.0.0.1 a écrit :

J'avoue que les listes de règles allow/deny sont tout sauf digestes pour les néophytes.

Mais y a eu du progrès de ce coté, comme par exemple "NETGEAR genie".

et il y a toujours le même mdp/password par défaut sur leurs routeurs ?

Avatar de shadowfox INpactien
Avatar de shadowfoxshadowfox- 09/06/17 à 13:24:44

Signaler ce commentaire aux modérateurs :

darkbeast a écrit :

L'autre soucis c'est que les gens ont déjà du mal à comprendre le concept de mot de passe alors paramétrer un firewall .... ou alors il faudrait leur faire des scrolls

De manière générale, le niveau informatique des gens est en baisse. Avant quand t'avais un PC chez toi, fallait comprendre un minimum comment ça marchait pour arriver à s'en servir sous peine de rien piger à ce qu'il pouvait s'y passer.
 
Maintenant à l'ère des smartphones où les interfaces sont simplifées au max, les gens en restent à "j'appuies sur un bouton et magic happens".
Quand tu n'as connu que cette vision de la technologie, tu ne peux pas avoir conscience de la puissance (et de la dangerosité) des outils que tu utilises.

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 09/06/17 à 13:27:17

Signaler ce commentaire aux modérateurs :

Sur les NETGEAR que j'ai eu c'était effectivement le cas. Mais c'est le truc qu'on change dés le premier login : si on installe un routeur pour sécuriser son installation c'est pas pour laisser le pwd par défaut du routeur.

Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 09/06/17 à 13:45:15

Signaler ce commentaire aux modérateurs :

127.0.0.1 a écrit :

Sur les NETGEAR que j'ai eu c'était effectivement le cas. Mais c'est le truc qu'on change dés le premier login : si on installe un routeur pour sécuriser son installation c'est pas pour laisser le pwd par défaut du routeur.

Pour avoir discuter avec le formateur durant une formation sur la confs des switch/routeurs c'est souvent le cas.

Il n'est plus possible de commenter cette actualité.
Page 1 / 4