Des chercheurs pointent du doigt les caméras connectées du constructeur chinois Foscam, qui intègrent en dur un mot de passe, exploitable évidemment à des fins malveillantes. Une situation qui ne fait que se répéter et braque à nouveau les projecteurs sur le manque évident de sécurité dans certains périphériques du quotidien.
Dans un long rapport publié mercredi soir, la société F-Secure, plus connue pour son antivirus, s’en prend à Foscam. Basée en Chine, cette entreprise vend des caméras connectées, en nom propre comme en marque blanche (modèles vendus chez Thomson, Opticam, Netis, Qcam, Sab…). Problème, F-Secure lui a signalé un lot conséquent de 18 failles de sécurité il y a plusieurs mois, sans que le constructeur réagisse. D’où la publication d’une longue explication sur les soucis constatés.
Des problèmes qui rappellent combien la sécurité des objets connectés n’est souvent que peu considérée par les sociétés qui les produisent, tant les cas de ce genre sont fréquents. Le rappel massif de caméras XiongMai, avec identifiants écrits en dur, en était le symbole décadent.
Divers soucis, dont un identifiant codé en dur
Pour F-Secure, la sécurité des caméras Foscam est intégralement à revoir. Le nombre de vulnérabilités est élevé, mais il surtout impressionnant de voir que des objets connectés vendus en 2017 réussissent encore à rassembler deux des pires défauts possibles : des identifiants non seulement inscrits en dur dans le code des webcams, mais également très faibles. Et pour cause, il n’y a même pas de mot de passe.
On commence donc avec une porte d’entrée grande ouverte pour les pirates et autres agences de renseignement. Les identifiants sont simples à deviner et ne peuvent pas être changés. Ils sont là pour permettre une connexion à l’interface d’administration et l’émission d’un flux sur Internet. Une faille de sécurité particulièrement connue et qui n’a rien de nouveau.
Une conjonction possible de plusieurs failles
Le problème augmente avec les autres vulnérabilités. Si les pirates peuvent se connecter facilement, ils ont aussi la capacité d’exécuter du code arbitraire. En effet, ils peuvent très facilement obtenir des droits en écriture et des privilèges maximum, leur permettant alors de réaliser à peu près n’importe quoi.
Le modèle Opticam i5 HD semble être le plus touché, mais la C2 contient également des failles, F-Secure indiquant que les autres webcams n’ont pas de raison d’être moins concernées. L’éditeur estime qu’il faut considérer que toutes les webcams connectées du constructeur peuvent être piratées, le problème augmentant encore avec des failles supplémentaires et un client Telnet masqué.
Les pirates potentiels ont tellement d’outils à disposition qu’il s’agit presque d’un cas d’école.
Les choix offerts aux pirates
Un individu armé de mauvaises intentions n’aurait que l’embarras du choix. L’attaque la plus évidente est de prendre le contrôle de la webcam et donc de détourner un flux vidéo à des fins d’espionnage. Il est même possible de remplacer intégralement le firmware des webcams par des créations maison, afin d’implanter définitivement la porte dérobée qui permettra ensuite de se connecter plus facilement, et surtout de manière automatisée.
Car il est évidemment faisable d’exploiter ces faiblesses pour faire entrer les webcams connectées dans des botnets. C’est précisément de cette manière que le malware Mirai a contaminé des centaines de milliers d’objets connectés, profitant allègrement du manque de sérieux sur la sécurité pour constituer d’immenses groupes d’objets zombies, capables ensuite de lancer de grandes attaques distribuées par déni de service (DDoS), comme on l’avait vu avec Dyn.
F-Secure explique notamment que trois vulnérabilités principales peuvent être réunies rapidement pour exécuter à peu près tout et n’importe quoi : l’absence de mot de passe sans possibilité d’en mettre un sur le serveur FTP interne, la fonction Telnet « secrète » et des permissions incorrectes permettant de relancer des scripts à chaque fois que la webcam démarre.
Un problème bien trop récurrent
Dans l’état actuel des choses, F-Secure ne peut que recommander le débranchement de ces webcams, car il n’existe aucune mesure de protection réellement efficace pour se protéger des éventuelles retombées.
Le problème est malheureusement courant, l'agence de cybersécurité européenne préconisant notamment l'utilisation de labels, avec un niveau minimal de sécurité. Elle rejoint la Commission européenne et l'ANSSI française sur ce dossier, comme nous l'affirmait cette dernière il y a quelques jours. L'auto-certification est l'une des pistes privilégiées.
Bien que le sujet de la sécurité des objets connectés ait été largement relancé par Mirai (comme celui des failles stockées par les États a été propulsé à nouveau par WannaCrypt), les rapports publiés par les sociétés concernées vont souvent dans la même direction. La situation est ubuesque tellement les défauts constatés sont conséquents, comme si les fabricants ne pouvaient pas appliquer les règles les plus élémentaires dans ce domaine.
La situation est particulièrement dangereuse dans la mesure où les clients, pour beaucoup, ne sont pas sensibilisés aux problématiques de sécurité. Tous ces produits sont vendus avec un marketing orienté sur la simplicité : on branche puis on utilise. Il y a une confiance inhérente dans ces périphériques qui sont censés fournir une expérience ludique sans s’y connaître particulièrement en informatique.
Il est donc délicat de demander aux acheteurs de vérifier ces points précis, car ils ne sont pas mis en avant. Ils devraient ainsi contrôler que le mot de passe n’est pas inscrit en dur, qu’il peut être modifié, que le produit n’intègre pas de composants masqués et que les fonctionnalités n’ont pas été ajoutées en dépit du bon sens, sans tenir compte de règles que l’on peut très clairement qualifier de basiques.
Actuellement, et on ne le répètera jamais assez, la route semble encore bien longue, comme l'indiquait notamment Mozilla en janvier dernier. Foscam n'a pour sa part pas encore réagi.
