Piratage de webcams : à qui la faute ?

25 Nov 2014

Ces derniers jours, les histoires de « piratage de webcam », les « piratages de baby phones » ou les « sites web russes qui surveillent les citoyens britanniques »  font les gros titres partout dans les médias. A en juger par les réactions des personnes concernées, le problème serait assez grave. Pourquoi ?

eye_SQ

Parce que tout le monde, aussi bien les  fonctionnaires d’état que les  fabricants de webcams, est plus occupés à chercher le coupable qu’à trouver une solution au problème. Le bilan de cette histoire est que si vous possédez un appareil connecté à Internet, vous devez suivre les actualités en matière de sécurité. Si vous ne le faites pas, votre vie privée pourrait se retrouver en ligne et en libre accès, sans même que vous ne soyez au courant.

Mais que s’est-il passé ? 

C’est simple. Admettons que vous achetez une webcam. Pas une de celles que vous branchez par port USB, mais une de ces nouvelles webcam sans fil, qui diffusent des vidéos en streaming et vous permettent de surveiller votre bébé, votre voiture dans le garage,  ou le trottoir en face de chez vous, alors que vous vous trouvez dans une autre pièce, une autre ville ou même un autre pays. Vous la branchez, suivez les instructions pour une  » Installation Rapide » et voilà, ça marche ! Un petit bijou de technologie qui illustre parfaitement le fonctionnement du monde numérique actuel !

Pas exactement. Le problème réside dans le « et voilà, ça marche ». En effet, la plupart des utilisateurs sont tellement contents  que l’appareil fonctionne aussi facilement qu’ils ne pensent même pas à changer le mot de passe par défaut ou, parfois ne savent même pas que c’est possible de le faire, voire même vivement recommandé.

Cela signifie que tous ceux qui connaissent l’adresse exacte de la webcam et son mot de passe par défaut (du genre  « 1234 ») peuvent avoir accès à vos données confidentielles. Comment vous pouvez connaître l’adresse exacte de la webcam ? Il suffit de chercher un sujet sensible sur Google et vous obtiendrez des milliers de résultats de webcams en ligne.

Il n’a pas fallu longtemps avant que quelqu’un crée un site web qui référence les webcams non protégées, et les classe par pays et par région (grâce à leur adresse IP qui permet de les localiser) afin que tous les pervers puissent en profiter. Il existe même un fil de discussion sur un forum à accès limité où les membres échangent sur le contenu des captures d’écran de certaines webcams. Ouff !

Qui en est responsable ?

Tout le monde et personne. Mais d’abord, les cybercriminels. Ceux qui ont créé le site web n’ont pas piraté d’appareils. Ils n’ont même pas exploité les vulnérabilités du logiciel de la webcam. Ils n’ont pas créé un lien de hameçonnage pour s’emparer de vos identifiants et mots de passe. Ils profitent simplement de l’une des failles du système.

Ils infiltrent des appareils qui ne disposent pas de systèmes de sécurité par défaut. C’est comme si on volait le porte-monnaie de quelqu’un qui l’a oublié dans un café. Le propriétaire du porte-monnaie n’aurait pas dû le laisser dans un lieu public. Voler un porte-monnaie comme ça, c’est pas comme si on cambriolait quelqu’un. Mais dans les deux cas, voler ce n’est pas bien.

Au tour des utilisateurs maintenant. Ils n’ont pas changé le mot de passe établi par défaut bien que ce soit vivement recommandé quelque part dans le manuel d’installation (vous savez, page 57 en petit caractères ou du même genre). Lisez-vous toujours les manuels d’installation des appareils qui marchent tout seuls ? Ceux qui ont conçu les webcams ont fait de leur mieux pour que celles-ci soient aussi faciles à utiliser que possible. Parfois ils ont même préféré la simplicité à la sécurité. Si une webcam obligeait l’utilisateur à changer le mot de passe par défaut avant de pouvoir l’utiliser (c’est 10 lignes de codes ! Vraiment simple !), ce problème n’aurait plus lieu d’être.

 

Les vendeurs. Ils rejettent la faute sur les fameux « pirates », ainsi que sur leurs propres clients qui n’ont pas changé le mot de passe par défaut. Nous avons décidé de rester du côté des consommateurs. Nous pensons que tous les appareils connectés à Internet devraient prendre en compte les problèmes de sécurité. Nous pensons aussi que les vendeurs (chacun d’entre eux !) devraient aborder le thème de la sécurité avec leurs clients. Et faire de leur mieux pour sécuriser la vie privée de leurs clients.

 

 

 

Bienvenue dans le monde incroyable des ordinateurs !

En général, on en arrive à de telles situations parce qu’on considère la plupart de ces appareils comme de simples gadgets, qui se contentent d’effectuer une ou deux tâches simples (comme lire des vidéos en streaming ou se connecter à un réseau WiFi).

 

Dans la réalité les choses sont un peu plus compliquées. Plusieurs caméras, routeurs sans fil, TV numériques, décodeurs et lecteurs de musique, fonctionnent comme de vrais ordinateurs, capables de faire bien plus que ce pour quoi ils ont été conçus. En fait, pour la plupart d’entre eux, les fabricants ont utilisé des logiciels standards et personnalisables, seulement parce que c’est l’option la moins chère. Votre routeur vous donne accès à Internet, mais il est assez puissant et élaboré pour contrôler un vaisseau spatial. Et c’est  de ça que les cybercriminels tirent profit.

 

Conseils

Etant donné que tous les fournisseurs de hardwares, de softwares et de services web ne tiennent pas compte des problèmes de sécurité, on doit s’en charger soi-même. Il y a deux manières de procéder. La première est de se renseigner sur les ordinateurs, les softwares, la programmation, les réseaux, d’analyser les vulnérabilités et les protocoles de communication pour pouvoir modifier vous-même votre système et le protéger contre tout type de menaces.

 

La deuxième est de laisser faire les professionnels. Pour ce qui est des ordinateurs, smartphones et tablettes, cela ne pose pas de problème (jetez un coup d’œil à Kaspersky Pure3.0). Les fabricants d’appareils comme les webcams, les routeurs ou les téléviseurs numériques créent des  modèles si divers et fermés qu’il est actuellement impossible de mettre au point une solution de sécurité qu’ils puissent tous utiliser.

 

Pour en savoir plus sur ce genre d’attaques, jetez un coup d’œil à l’article de David Jacoby, expert en sécurité informatique chez Kaspersky Lab intitulé « Comment j’ai piraté ma maison ! »

 

 

Bonne nouvelle: deux jours après l’annonce de la nouvelle, le site web en question a été fermé. Mauvaise nouvelle : avant ça, le site web est resté actif pendant au moins six mois. Pire encore : la faille qui a rendu tout cela possible a été révélée à un site web de technologie Russe, en Août 2013 (sans parler du fait que de vrais pirates ont pu l’exploiter bien avant).

 

 

La fermeture du site web ne veut pas dire que les webcams piratées sont maintenant protégées : on peut toujours les trouver et y accéder via Google Search. La seule solution est de changer le mot de passe par défaut de votre webcam. On sait que les appareils du fournisseur Foscam (www.foscam.com)  sont concernés.