Des caméras connectées Foscam aux failles de sécurité béantes

Des caméras connectées Foscam aux failles de sécurité béantes

(Sigh...)

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

09/06/2017 6 minutes
32

Des caméras connectées Foscam aux failles de sécurité béantes

Des chercheurs pointent du doigt les caméras connectées du constructeur chinois Foscam, qui intègrent en dur un mot de passe, exploitable évidemment à des fins malveillantes. Une situation qui ne fait que se répéter et braque à nouveau les projecteurs sur le manque évident de sécurité dans certains périphériques du quotidien.

Dans un long rapport publié mercredi soir, la société F-Secure, plus connue pour son antivirus, s’en prend à Foscam. Basée en Chine, cette entreprise vend des caméras connectées, en nom propre comme en marque blanche (modèles vendus chez Thomson, Opticam, Netis, Qcam, Sab…). Problème, F-Secure lui a signalé un lot conséquent de 18 failles de sécurité il y a plusieurs mois, sans que le constructeur réagisse. D’où la publication d’une longue explication sur les soucis constatés.

Des problèmes qui rappellent combien la sécurité des objets connectés n’est souvent que peu considérée par les sociétés qui les produisent, tant les cas de ce genre sont fréquents. Le rappel massif de caméras XiongMai, avec identifiants écrits en dur, en était le symbole décadent.

Divers soucis, dont un identifiant codé en dur

Pour F-Secure, la sécurité des caméras Foscam est intégralement à revoir. Le nombre de vulnérabilités est élevé, mais il surtout impressionnant de voir que des objets connectés vendus en 2017 réussissent encore à rassembler deux des pires défauts possibles : des identifiants non seulement inscrits en dur dans le code des webcams, mais également très faibles. Et pour cause, il n’y a même pas de mot de passe.

On commence donc avec une porte d’entrée grande ouverte pour les pirates et autres agences de renseignement. Les identifiants sont simples à deviner et ne peuvent pas être changés. Ils sont là pour permettre une connexion à l’interface d’administration et l’émission d’un flux sur Internet. Une faille de sécurité particulièrement connue et qui n’a rien de nouveau.

Une conjonction possible de plusieurs failles

Le problème augmente avec les autres vulnérabilités. Si les pirates peuvent se connecter facilement, ils ont aussi la capacité d’exécuter du code arbitraire. En effet, ils peuvent très facilement obtenir des droits en écriture et des privilèges maximum, leur permettant alors de réaliser à peu près n’importe quoi.

Le modèle Opticam i5 HD semble être le plus touché, mais la C2 contient également des failles, F-Secure indiquant que les autres webcams n’ont pas de raison d’être moins concernées. L’éditeur estime qu’il faut considérer que toutes les webcams connectées du constructeur peuvent être piratées, le problème augmentant encore avec des failles supplémentaires et un client Telnet masqué.

Les pirates potentiels ont tellement d’outils à disposition qu’il s’agit presque d’un cas d’école.

Les choix offerts aux pirates

Un individu armé de mauvaises intentions n’aurait que l’embarras du choix. L’attaque la plus évidente est de prendre le contrôle de la webcam et donc de détourner un flux vidéo à des fins d’espionnage. Il est même possible de remplacer intégralement le firmware des webcams par des créations maison, afin d’implanter définitivement la porte dérobée qui permettra ensuite de se connecter plus facilement, et surtout de manière automatisée.

Car il est évidemment faisable d’exploiter ces faiblesses pour faire entrer les webcams connectées dans des botnets. C’est précisément de cette manière que le malware Mirai a contaminé des centaines de milliers d’objets connectés, profitant allègrement du manque de sérieux sur la sécurité pour constituer d’immenses groupes d’objets zombies, capables ensuite de lancer de grandes attaques distribuées par déni de service (DDoS), comme on l’avait vu avec Dyn.

F-Secure explique notamment que trois vulnérabilités principales peuvent être réunies rapidement pour exécuter à peu près tout et n’importe quoi : l’absence de mot de passe sans possibilité d’en mettre un sur le serveur FTP interne, la fonction Telnet « secrète » et des permissions incorrectes permettant de relancer des scripts à chaque fois que la webcam démarre.

Un problème bien trop récurrent

Dans l’état actuel des choses, F-Secure ne peut que recommander le débranchement de ces webcams, car il n’existe aucune mesure de protection réellement efficace pour se protéger des éventuelles retombées.

Le problème est malheureusement courant, l'agence de cybersécurité européenne préconisant notamment l'utilisation de labels, avec un niveau minimal de sécurité. Elle rejoint la Commission européenne et l'ANSSI française sur ce dossier, comme nous l'affirmait cette dernière il y a quelques jours. L'auto-certification est l'une des pistes privilégiées.

Bien que le sujet de la sécurité des objets connectés ait été largement relancé par Mirai (comme celui des failles stockées par les États a été propulsé à nouveau par WannaCrypt), les rapports publiés par les sociétés concernées vont souvent dans la même direction. La situation est ubuesque tellement les défauts constatés sont conséquents, comme si les fabricants ne pouvaient pas appliquer les règles les plus élémentaires dans ce domaine.

La situation est particulièrement dangereuse dans la mesure où les clients, pour beaucoup, ne sont pas sensibilisés aux problématiques de sécurité. Tous ces produits sont vendus avec un marketing orienté sur la simplicité : on branche puis on utilise. Il y a une confiance inhérente dans ces périphériques qui sont censés fournir une expérience ludique sans s’y connaître particulièrement en informatique.

Il est donc délicat de demander aux acheteurs de vérifier ces points précis, car ils ne sont pas mis en avant. Ils devraient ainsi contrôler que le mot de passe n’est pas inscrit en dur, qu’il peut être modifié, que le produit n’intègre pas de composants masqués et que les fonctionnalités n’ont pas été ajoutées en dépit du bon sens, sans tenir compte de règles que l’on peut très clairement qualifier de basiques.

Actuellement, et on ne le répètera jamais assez, la route semble encore bien longue, comme l'indiquait notamment Mozilla en janvier dernier. Foscam n'a pour sa part pas encore réagi.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Divers soucis, dont un identifiant codé en dur

Une conjonction possible de plusieurs failles

Les choix offerts aux pirates

Un problème bien trop récurrent

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (32)


Je n’ai que des Foscam chez moi et c’est évident que la sécurité de ses appareils n’ont jamais été leur point fort. Il suffit de voir les clones disponibles sur le marché.

Technologiquement, elles sont bonnes, et surtout la marque est pérenne.

Mais pour le reste, elles bavent (j’ai surpris plusieurs fois des communications la nuit vers des dns extérieurs), donc j’ai bloqué au niveau de mon parefeu toutes les WAN des IPS de mes caméras.


Qui dit IoT (et autre machin IP), dit routeur/firewall personnel (à coller juste après la box).



Les box Internet sont vraiment trop minimalistes en matière de sécurité domestique.


Bonjour,

Peux-tu en dire plus sur ce que tu as fais pour bloquer toutes les WAN s’il te plaît ?








127.0.0.1 a écrit :



Qui dit IoT (et autre machin IP), dit routeur/firewall personnel (à coller juste après la box).



Les box Internet sont vraiment trop minimalistes en matière de sécurité domestique.







L’autre soucis c’est que les gens ont déjà du mal à comprendre le concept de mot de passe alors paramétrer un firewall …. ou alors il faudrait leur faire des scrolls



Idem, ma foscam est bannie de connexion au net via le routeur. Accessible uniquement en LAN.


J’avoue que les listes de règles allow/deny sont tout sauf digestes pour les néophytes.



Mais y a eu du progrès de ce coté, comme par exemple “NETGEAR genie”.








127.0.0.1 a écrit :



J’avoue que les listes de règles allow/deny sont tout sauf digestes pour les néophytes.



Mais y a eu du progrès de ce coté, comme par exemple “NETGEAR genie”.







et il y a toujours le même mdp/password par défaut sur leurs routeurs ?









darkbeast a écrit :



L’autre soucis c’est que les gens ont déjà du mal à comprendre le concept de mot de passe alors paramétrer un firewall …. ou alors il faudrait leur faire des scrolls





De manière générale, le niveau informatique des gens est en baisse. Avant quand t’avais un PC chez toi, fallait comprendre un minimum comment ça marchait pour arriver à s’en servir sous peine de rien piger à ce qu’il pouvait s’y passer.

 

Maintenant à l’ère des smartphones où les interfaces sont simplifées au max, les gens en restent à “j’appuies sur un bouton et magic happens”.

Quand tu n’as connu que cette vision de la technologie, tu ne peux pas avoir conscience de la puissance (et de la dangerosité) des outils que tu utilises.



Sur les NETGEAR que j’ai eu c’était effectivement le cas. Mais c’est le truc qu’on change dés le premier login : si on installe un routeur pour sécuriser son installation c’est pas pour laisser le pwd par défaut du routeur. <img data-src=" />








127.0.0.1 a écrit :



Sur les NETGEAR que j’ai eu c’était effectivement le cas. Mais c’est le truc qu’on change dés le premier login : si on installe un routeur pour sécuriser son installation c’est pas pour laisser le pwd par défaut du routeur. <img data-src=" />







Pour avoir discuter avec le formateur durant une formation sur la confs des switch/routeurs c’est souvent le cas.









shadowfox a écrit :



De manière générale, le niveau informatique des gens est en baisse. Avant quand t’avais un PC chez toi, fallait comprendre un minimum comment ça marchait pour arriver à s’en servir sous peine de rien piger à ce qu’il pouvait s’y passer.

 

Maintenant à l’ère des smartphones où les interfaces sont simplifées au max, les gens en restent à “j’appuies sur un bouton et magic happens”.

Quand tu n’as connu que cette vision de la technologie, tu ne peux pas avoir conscience de la puissance (et de la dangerosité) des outils que tu utilises.







ouais il faudrait des cours de sécurités infos/gestion de vie privée, dès la primaire









darkbeast a écrit :



ouais il faudrait des cours de sécurités infos/gestion de vie privée, dès la primaire





Ce ne serait effectivement pas idiot du tout. Au moins de cette façon, la génération à venir aurait conscience que ce sont bel et bien des outils et non des jouets.



Inspecteur&nbsp; &nbsp;&nbsp;&nbsp; Bonjour, vous avez des mots de passe en dur dans votre code ?

Développeur&nbsp; Ah non, pas de ça chez moi…

Inspecteur&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (il commence à sourire, on voit qu’il se prépare à demander comment le mot de passe est créé)

Développeur&nbsp; …Je vais quand même pas m’embêter avec un mot-de-passe, n’est-ce-pas ?


Qu’en est-il des caméras installées par les vendeurs d’alarmes ? Sont elles sures ? A-t-on des retours ?


Snapchat va s’écrouler en bourse 😂

Et sinon personne ne se dit que ce n’est pas juste de la négligence ?


Il vas falloir interdire à la vente tous les appareils connecté dangereux pour la sécurité comme les ours en peluche avec lesquels les enfants peuvent s’étouffer ou ceux qui brule facilement.








zhebulonn a écrit :



Qu’en est-il des caméras installées par les vendeurs d’alarmes ? Sont elles sures ? A-t-on des retours ?





Alors, même motif, même punition =&gt; Le pire étant les prestataires qui “vendent” de la protection par un abonnement mensuel/annuel via le réseau paire cuivrée &nbsp; …&nbsp; (Et non je ne donnerais pas de nom ;-)&nbsp; )

En plus la caméra est souvent intégrée au détecteur de mouvements/intrusions et on ne peut plus rien faire d’autre que de masquer ladite caméra avec une pastille…



Perso,

Dans la maison de mes beaux parents, j’ai masqué toutes les lentilles de caméras des détecteurs en place =&gt; et bien ça n’a pas tardé, le prestataire a appelé pour savoir pourquoi il ne “voyait rien” sur ses écrans de contrôle quand il y avait du mouvement dans la maison &nbsp; …&nbsp;

&nbsp;WTF ! !&nbsp;



&nbsp;Bien entendu, il n’avait pas signalé sur son contrat qu’il avait une vue directe et permanente à l’intérieur de la maison à tout moment …

J’ai laissé les pastilles de masquage en place !&nbsp; Et basta








Vin Diesel a écrit :



Alors, même motif, même punition =&gt; Le pire étant les prestataires qui “vendent” de la protection par un abonnement mensuel/annuel via le réseau paire cuivrée &nbsp; …&nbsp; (Et non je ne donnerais pas de nom ;-)&nbsp; )

En plus la caméra est souvent intégrée au détecteur de mouvements/intrusions et on ne peut plus rien faire d’autre que de masquer ladite caméra avec une pastille…





Ouais, “pas très sur” en fait…



C’est le prestataire pour la sécurité ?








Out of Atomic a écrit :



Et sinon personne ne se dit que ce n’est pas juste de la négligence ?







Pour Foscam, c’est plus proche de l’incompétence technique.



Toute personne ayant essayé de mettre à jour un firmware sur une caméra se rend vite compte que c’est mal foutu:





  1. maj du firmware “kernel”

  2. maj du firmware “appli”

  3. patch du firmware “appli” (WTF !!)

  4. Connexion en http à la caméra pour télécharger un plugin

  5. Installation du plugin activex/NPAPI non sécurisé, donc IE en mode “unsigned ActiveX” ou vieille version de FF/Chrome gérant encore NPAPI. Pour les version récentes sans NPAPI… pas de solution (WTF !!)

  6. Certaines version du plugin ne s’installent pas (WTF !!)

  7. Si pas de plugin alors impossible de se connecter à l’interface d’administration pour configurer/downgrader (WTF !!)

  8. Et dans ce dernier cas, alors que l’utilisateur légitime est coincé, les hackers ont accès à la caméra via des commandes http.



    Tout ceci ayant été vécu hier soir par moi-même lorsque j’ai voulu mettre à jour la foscam d’un voisin. <img data-src=" />



Sans oublier le fameux “Bah quoi? J’ai rien à cacher!” &nbsp;<img data-src=" />

&nbsp;

C’est drôle que tu donnes cette phrase entre guillemets, c’est exactement le slogan de Kodak en 1888 : “You Press the Button, We Do the Rest”. Comme quoi ça n’est pas neuf, c’est même une tendance allant de pair avec l’industrialisation capitalistique : l’invisibilisation des moyens nécessaires à l’obtention d’un bien, d’un service d’un côté, l’infantilisation de l’utilisateur de l’autre..

Tant qu’effectivement il n’y aura pas une sensibilisation véritable (campagnes de pub? éducation scolaire? formations?) à ces processus, il n’y aura que trop peu d’individus pour faire ce travail..


Au niveau de mon router, j’interdis à toutes les IP de mes caméras d’aller sur internet.

Mon router est un USG Unifi (que je ne conseille pas aux personnes qui sont débutantes en réseau, son développement n’est pas finalisé, loin de là).


Et pourtant Foscam est une marque pérenne : j’en ai depuis 10-15 ans, maintenant, dont une qui fonctionne 24h/7 depuis 10 à l’extérieur en haut d’un pylône de 5m. Quand on sait que c’est au Québec (entre -35°c et +35°c), c’est quand même du bon matos.

Autre point des Foscam par rapport aux autres actuellement : elles restent parmi les dernières à offrir un éventail de caméras non-cloud, qu’on peut configurer et utiliser sans smartphone, le tout à des prix très raisonnables.

Mais oui, elles ne sont pas des modèles de sécurité : bloquez les IP sur votre routeur, c’est tout.



Ceci dit : des Foscams (ou autres) qui bavent de temps en temps sur internet et qu’on peut bloquer en quelques secondes, sont elles moins sûres pour la vie privées que les 100% cloud (Google NestCam, par exemple) ?


Je ne remet pas en cause la qualité du hardware Foscam, mais celui du software.



A l’inverse, j’ai un clone de Foscam fabriqué par HEDEN: le hardware est moins bon (image moche un peu floue) mais le software est bien meilleur que celui de foscam.


Je vais être honnête : l’interface de contrôle des Foscam n’a quasiment pas changé depuis que je les connaîs. Ceci explique peut-être la carence béante niveau sécurité que l’on constate aujourd’hui.


Question débile, on peut pas fabirquer une cam embarquée avec un Raspberry et un module caméra (je sais qu’il y en a pour le pi à 8M pixel) pour ce genre de besoin ?


Si avec zoneminder comme programme ça fonctionne très bien.

T’as la détection des mouvements, l’alerte etc



Un pote a même un vieux smartphone comme caméra (connecté en wifi au raspberry)








Vin Diesel a écrit :



Perso,

Dans la maison de mes beaux parents, j’ai masqué toutes les lentilles de caméras des détecteurs en place =&gt; et bien ça n’a pas tardé, le prestataire a appelé pour savoir pourquoi il ne “voyait rien” sur ses écrans de contrôle quand il y avait du mouvement dans la maison &nbsp; …&nbsp;

&nbsp;WTF ! !&nbsp;



&nbsp;Bien entendu, il n’avait pas signalé sur son contrat qu’il avait une vue directe et permanente à l’intérieur de la maison à tout moment …

J’ai laissé les pastilles de masquage en place !&nbsp; Et basta





La vache ! Oo

Et le prestataire qui appelle …



Il n’y a pas moyen de déposer plainte contre eux pour atteinte à la vie privée ?

Non, parce que bon, ce n’est pas parce que tu montes des caméras de vidéo-protection que tu es d’accord pour que ce soit open bar …&nbsp;









Juju251 a écrit :



La vache ! Oo

Et le prestataire qui appelle …



Il n’y a pas moyen de déposer plainte contre eux pour atteinte à la vie privée ?

Non, parce que bon, ce n’est pas parce que tu montes des caméras de vidéo-protection que tu es d’accord pour que ce soit open bar …&nbsp;





Le véritable soucis, c’est que le contrat signé par les beau-parents est tellement alambiqué et tordu que,&nbsp; juridiquement, il est inattaquable.<img data-src=" />

La seule solution est d’attendre la fin du contrat en cours et de ne surtout pas de renouveler&nbsp;&nbsp; … Il reste 10 mois qui vont être très longs.<img data-src=" />

Ensuite, je leur installerai un système totalement autonome avec sauvegarde sur disques WD Purple … ça coûtera moins cher que leur merdier actuel.&nbsp;&nbsp; <img data-src=" />

&nbsp;



Est-ce que t’es sûr que le prestataire a pas “simplement” plus recu de signal de mouvement du tout au cours de xx heures + peut-être un système justement pour détecter taux de luminosité etc.

Il a pas forcément accès aux images en soit, juste des stats..

J’essaye pas de le défendre hein, juste ça me parait énorme comme truc ! Si c’est le cas c’est une atteinte énorme à la vie privée.. A voir aussi si leur contrat est bien légal, faudrait voir avec un juriste pour ça.

&nbsp;


Non non,

Il recevait parfaitement les signaux des différents détecteurs mais ne recevait plus les images des caméras car j’ avais masqué les lentilles avec des caches auto-collant …



Et ils ont été assez gonflés pour appeler sur un des téléphones mobiles pour savoir ce qui se passait &nbsp; … maousses costauds les gars&nbsp; <img data-src=" />