Ignorer le contenu principal

Les chercheurs de Kaspersky Lab ont découvert plusieurs failles de sécurité dans des modèles courants de caméras connectées, tels que les babyphones, ou encore de caméras de surveillance intérieure de domiciles ou de bureaux. D’après les chercheurs de Kaspersky Lab, les vulnérabilités détectées pourraient permettre à des pirates d’accéder à distance aux flux vidéo et audio des caméras, de désactiver celles-ci, d’y insérer du code malveillant à volonté et de se livrer à de multiples autres manipulations.

Les caméras connectées modernes regorgent de fonctions avancées, offrant à leurs utilisateurs diverses possibilités. Ils peuvent s’en servir comme d’un babyphone évolué ou bien d’un système de surveillance à la maison ou au bureau afin de détecter des intrusions en leur absence. Mais qu’adviendrait-il si ces dernières se mettaient à vous surveiller vous-même, plutôt que votre domicile ?

Des études précédemment réalisées par de nombreux autres chercheurs en sécurité avaient déjà révélé une tendance générale présentant les caméras connectées comme contenant des failles plus ou moins graves. Cependant, dans le cadre de leurs recherches les plus récentes, les experts de Kaspersky Lab ont découvert un phénomène hors du commun : ce n’est pas un seul modèle en particulier qui est visé mais bien une gamme entière de caméras connectées qui se trouve vulnérable à un certain nombre d’attaques très sérieuses et à distance. La raison est liée à un système backbone cloud non sécurisé, conçu au départ pour permettre aux propriétaires de ces appareils d’accéder à distance à leurs images vidéo.

En exploitant ces failles, des individus malveillants pourraient exécuter les attaques suivantes :

  • Accéder aux flux vidéo et audio de toute caméra connectée au service cloud vulnérable.
  • Obtenir à distance l’accès « root » d’une caméra et s’en servir comme point d’entrée pour mener des attaques contre d’autres appareils sur le réseau local et à l’extérieur.
  • Télécharger et exécuter à distance du code malveillant arbitraire sur des caméras.
  • Dérober des données personnelles telles que les identifiants de comptes des utilisateurs sur des réseaux sociaux ou des informations utilisées pour leur envoyer des notifications.
  • Bloquer à distance des caméras vulnérables.

A la suite de cette découverte, les chercheurs de Kaspersky Lab ont signalé les vulnérabilités à Hanwha Techwin, le fabricant des caméras concernées. A date, certaines failles ont déjà été corrigées, les autres devraient l’être bientôt en totalité, selon le fabricant.

Toutes ces attaques ont été rendues possibles, comme l’ont constaté les experts, par l’interaction non sécurisée des caméras avec le service cloud, ouvrant la voie à des interceptions relativement faciles. Ceux-ci ont également observé que l’architecture du service cloud lui-même était vulnérable à des interférences externes.

Il est à noter que de telles attaques nécessitent de connaître le numéro de série de la caméra ciblée. Toutefois, le mode de génération des numéros de série est lui aussi assez facile à trouver au moyen de simples attaques de force brute, contre lesquelles le système d’enregistrement des appareils du fabricant n’est pas protégé.

Au cours de leurs recherches, les experts de Kaspersky Lab ont pu identifier près de 2 000 caméras vulnérables en ligne mais il ne s’agissait que de celles possédant leur propre adresse IP, raison pour laquelle elles étaient directement accessibles via internet. Le nombre total d’appareils vulnérables placés derrière des routeurs et des firewalls pourrait bien être nettement supérieur.

En outre, les chercheurs ont découvert une fonctionnalité non documentée, possiblement utilisée par le fabricant pour des tests en fin de production. Or des criminels pourraient exploiter cet accès caché pour envoyer des signaux erronés aux caméras ou modifier les commandes leur étant adressées. Du reste, la fonction elle-même s’est révélée vulnérable. C’est ainsi qu’un débordement de mémoire tampon pourrait aboutir à l’extinction de l’appareil. Le fabricant a désormais colmaté cette faille et retiré la fonction en question.

«Le problème de la sécurité des objets connectés actuels tient à l’idée fausse, dans l’esprit des utilisateurs comme des fabricants. Ils pensent qu’il suffit de placer l’appareil à l’intérieur d’un réseau privé et de le séparer de l’Internet public à l’aide d’un routeur pour éviter la plupart des problèmes de sécurité, voire d’en atténuer nettement la gravité. Dans bien des cas, cela est vrai car, pour pouvoir exploiter des failles de sécurité dans les équipements internes d’un réseau ciblé, il faut d’abord accéder au routeur. Toutefois, nos recherches montrent que c’est loin d’être toujours le cas : en effet, les caméras que nous avons étudiées ne peuvent communiquer avec le monde extérieur que via un service cloud totalement vulnérable »,explique Vladimir Dashchenko, chef du groupe de recherche des vulnérabilités au sein de Kaspersky Lab ICS CERT.

«Un aspect intéressant est qu’en dehors des vecteurs d’attaque déjà décrits précédemment, tels que les infections par un malware ou les botnets, nous avons découvert que les caméras peuvent également servir au minage de cryptomonnaie. Alors que cette pratique est en train de devenir l’une des principales menaces de sécurité pour les entreprises, le minage IoT est une tendance émergente en raison de l’essor de l’Internet des objets et ne va cesser de se développer. », poursuit-il.

Déclaration du fabricant Hanwha Techwin

« La sécurité de nos clients est au cœur de nos priorités. Nous avons déjà corrigé les vulnérabilités de nos caméras, portant notamment sur le téléchargement et l’exécution à distance de code malveillant arbitraire. Nous avons développé une mise à jour du firmware à disposition de tous nos utilisateurs. Certaines vulnérabilités liées au cloud ont été identifiées et seront corrigées prochainement. »

Afin de s’assurer une bonne protection, Kaspersky Lab recommande vivement aux utilisateurs les précautions suivantes:

  • Modifier systématiquement le mot de passe par défaut des appareils. Le remplacer par un mot de passe complexe et penser à le renouveler régulièrement.
  • Être très attentifs aux éventuels problèmes de sécurité avant tout achat d’un appareil connecté pour la maison ou le bureau. Les informations concernant les vulnérabilités découvertes et corrigées sont généralement accessibles en ligne et souvent faciles à trouver.

Kaspersky Lab encourage les fabricants à renforcer leurs mesures de cybersécurité et à ne pas négliger l’importance de veiller à bien comprendre et évaluer les menaces potentielles, ainsi que la conception d’un environnement sécurisé dès le départ. La société collabore activement avec eux et leur signale toutes les vulnérabilités découvertes.

Plus d’informations sur cette étude sont disponibles sur Securelist.com

Kaspersky Lab découvre d’importantes failles pouvant transformer les caméras connectées en outils de surveillance

Les chercheurs de Kaspersky Lab ont découvert plusieurs failles de sécurité dans des modèles courants de caméras connectées, tels que les babyphones, ou encore de caméras de surveillance intérieure de domiciles ou de bureaux.
Kaspersky Logo