Caméras de sécurité vulnérables

Selon Kaspersky Lab, plusieurs failles de sécurité ont été découvertes dans des caméras intelligentes populaires, souvent utilisées pour la surveillance de sécurité interne ou comme babyphone [1]. Des recherches antérieures avaient déjà montré que les caméras en réseau présentaient des vulnérabilités [2]. L'enquête actuelle des experts de Kaspersky montre que toute une série de caméras intelligentes sont vulnérables à de graves attaques à distance. La raison en est le système de backbone cloud qui devait à l'origine permettre aux propriétaires des caméras d'accéder à distance aux vidéos de leurs appareils.

En exploitant ces vulnérabilités, les attaquants seraient en mesure de

• accéder aux enregistrements vidéo et audio de toute caméra connectée au service de cloud vulnérable
• obtenir un accès root à distance à une caméra et l'utiliser comme porte d'entrée pour d'autres attaques sur d'autres appareils du réseau local ou externe
• de télécharger et d'exécuter à distance des codes malveillants sur les caméras
• voler des données personnelles telles que les données d'accès aux réseaux sociaux et les informations utilisées pour envoyer des notifications aux utilisateurs
• rendre les caméras vulnérables inutilisables à distance

Après leur découverte, les failles de sécurité ont été signalées à Hanwha Techwin, le fabricant des caméras concernées. Au moment de la publication, certaines vulnérabilités ont déjà été corrigées, le reste des vulnérabilités sera bientôt complètement corrigé, selon le fabricant.

Toutes ces choses ont été possibles parce que les experts ont découvert que la manière dont les caméras interagissent avec le service cloud n'est pas sûre et peut être facilement compromise. Ils ont également découvert que l'architecture même du service cloud était vulnérable aux interférences extérieures.

Ce type d'attaque n'est possible que si les pirates connaissent le numéro de série de la caméra en question. Cependant, la manière dont ceux-ci sont générés est relativement facile à découvrir par des attaques par force brute, car le système d'enregistrement des caméras ne dispose pas d'une protection dédiée à cet effet.

Au cours de l'enquête, les experts ont trouvé près de 2000 caméras vulnérables sur Internet. Il ne s'agit toutefois que de celles qui ont leur propre adresse IP. Elles sont donc directement accessibles depuis Internet ; le nombre réel d'appareils vulnérables derrière les routeurs ou les pare-feu pourrait être plusieurs fois plus élevé.

En outre, les spécialistes ont trouvé une fonction non documentée qui pouvait être utilisée par le fabricant pour les tests de production finale. Elle permettait aux attaquants d'envoyer de faux signaux à une caméra ou de modifier une commande qui lui avait déjà été envoyée. La fonction elle-même a également été jugée vulnérable. Elle pouvait en outre être exploitée davantage avec un débordement de mémoire tampon et entraîner l'arrêt de la caméra. Le fournisseur a déjà corrigé le problème et supprimé cette fonction.

"Le problème avec la sécurité actuelle des appareils IoT est que les clients et les fournisseurs pensent à tort qu'en intégrant l'appareil dans leur réseau et en l'isolant du reste de l'Internet à l'aide d'un routeur, ils résolvent la plupart des problèmes de sécurité - ou du moins réduisent la gravité des problèmes existants", explique Vladimir Dashchenko, de Kaspersky Lab. "Dans de nombreux cas, c'est vrai : avant de pouvoir exploiter les failles de sécurité des appareils au sein d'un réseau cible, il faudrait pouvoir accéder au routeur. Nos recherches montrent toutefois que ce n'est pas nécessairement le cas. Les caméras que nous avons examinées n'ont pu communiquer avec le monde extérieur que par le biais d'un service cloud, qui est totalement vulnérable. Il est intéressant de noter qu'en plus des vecteurs d'attaque décrits précédemment, tels que les infections par des logiciels malveillants et les botnets, les caméras sont également utilisées pour le minage. Alors que le minage sur les ordinateurs d'entreprise est un résultat possible d'une attaque réussie, menaçant ainsi la sécurité des entreprises, le minage IoT est une tendance émergente en raison du nombre croissant d'appareils IoT, et il continuera à croître".

Hanwha Techwin commente : "La sécurité de nos clients est notre priorité absolue. Nous avons déjà corrigé les failles de sécurité de la caméra, y compris le téléchargement à distance et l'exécution de n'importe quel code malveillant. Nous avons mis le firmware mis à jour à la disposition de tous les utilisateurs. Certaines vulnérabilités liées au cloud ont été identifiées et seront corrigées prochainement".

Conseils de sécurité

Kaspersky Lab conseille aux utilisateurs privés :

• de toujours changer les mots de passe prédéfinis. Le mot de passe doit comporter au moins 16 caractères et une combinaison de lettres majuscules et minuscules, de chiffres et de caractères spéciaux ;
• de faire attention aux problèmes de sécurité connus avant d'acheter un appareil en réseau. Des informations sur les vulnérabilités connues et les correctifs disponibles peuvent être trouvées en ligne.

Kaspersky Lab recommande aux entreprises d'améliorer leurs propres normes de cybersécurité, de comprendre et d'évaluer le risque de menace et de développer un environnement sécurisé dès le départ. Kaspersky Lab collabore donc activement avec les fournisseurs et informe en conséquence des failles de sécurité découvertes.

Plus d'informations sur les vulnérabilités trouvées dans les caméras intelligentes sont disponibles à l'adresse suivante https://securelist.com/somebodys-watching-when-cameras-are-more-than-just-smart/84309/

^[1] https://securelist.com/somebodys-watching-when-cameras-are-more-than-just-smart/84309/

^[2] https://www.silicon.de/41653919/gravierende-sicherheitsluecke-in-millionen-von-ip-kameras-aufgedeckt/

Communiqué de presse : Kaspersky Lab