Retourner un espion est aussi possible dans la vie numérique. Sergey Shekyan et Artem Harutyunyan, chercheurs en sécurité chez l'éditeur spécialisé Qualys, ont démontré jeudi à l'occasion de la conférence Hack in the Box (Amsterdam) à quel point il pouvait se révéler aisé de prendre le contrôle, à distance et à l'insu de son propriétaire légitime, d'une caméra IP reliée à Internet. Leurs travaux (fichier PDF, 2 Mo) portaient sur un modèle de caméra répandu (FI8910W), élaboré par l'américain Foscam (qui vend sous son nom, mais aussi en marque blanche).
À ce premier problème s'en ajoute un second : bien que peu d'internautes le réalisent, une machine connectée à Internet est, si l'accès au réseau n'est pas correctement paramétré, susceptible d'être référencée par des services spécialisés (voir par exemple Shodan). Ceux-ci constituent, pour les chercheurs comme pour les attaquants, un répertoire d'adresses sur lesquelles exercer leurs talents.
Sergey Shekyan et Artem Harutyunyan ont dans un premier temps constaté que parmi les caméras IP listées sur ce type de service, environ un modèle sur cinq voit l'accès à son administration protégé par les identifiants par défaut utilisés par le fabricant, et se révèle donc vulnérable par défaut.
Pour les autres, ils rappellent l'existence de vulnérabilités reconnues, dont l'une permet par exemple d'obtenir une image complète du système d'exploitation de la caméra, au milieu duquel figurent les identifiants des comptes administrateur. Bien que la faille en question ait été corrigée par le fabricant, 99% des caméras testées par leurs soins n'intègrent pas encore la mise à jour nécessaire.
Au-delà des risques évidents relatifs à la vie privée de l'utilisateur, les deux chercheurs estiment que ces vulnérabilités peuvent également servir d'autres desseins plus insidieux, puisqu'elles ouvrent aussi bien accès à l'administration de la caméra qu'à son système d'exploitation, aisément modifiable. Entre autres scénarios, ils évoquent l'utilisation de la caméra comme proxy pour dissimuler son activité ou l'injection, par son intermédiaire, du code malveillant sur l'ordinateur du propriétaire (en intégrant par exemple un pan de code JavaScript au sein de l'interface d'administration).
Tous deux concluent logiquement à la nécessité de bien paramétrer réseau local et appareils connectés, pour les particuliers comme pour les administrateurs réseau en entreprise, et conseillent par exemple d'appliquer, sur ce type d'appareil, des règles de filtrage par adresse IP, afin de limiter les accès indus. Récemment, les caméras Trendnet avaient eu les honneurs de l'actualité, en raison de leur propension à afficher publiquement des flux privés.