Caméras IP : deux chercheurs soulignent un risque souvent négligé

Alexandre Laurent
Publié le 15 avril 2013 à 17h44
Deux chercheurs affirment, démo à l'appui, être en mesure de prendre de façon simple et rapide le contrôle d'une caméra IP, à l'insu de son propriétaire. Des dizaines de milliers de périphériques connectés à Internet seraient vulnérables.

00A0000005910686-photo-foscam-fi8910w-cam-ra-ip.jpg
Retourner un espion est aussi possible dans la vie numérique. Sergey Shekyan et Artem Harutyunyan, chercheurs en sécurité chez l'éditeur spécialisé Qualys, ont démontré jeudi à l'occasion de la conférence Hack in the Box (Amsterdam) à quel point il pouvait se révéler aisé de prendre le contrôle, à distance et à l'insu de son propriétaire légitime, d'une caméra IP reliée à Internet. Leurs travaux (fichier PDF, 2 Mo) portaient sur un modèle de caméra répandu (FI8910W), élaboré par l'américain Foscam (qui vend sous son nom, mais aussi en marque blanche).

À ce premier problème s'en ajoute un second : bien que peu d'internautes le réalisent, une machine connectée à Internet est, si l'accès au réseau n'est pas correctement paramétré, susceptible d'être référencée par des services spécialisés (voir par exemple Shodan). Ceux-ci constituent, pour les chercheurs comme pour les attaquants, un répertoire d'adresses sur lesquelles exercer leurs talents.

Sergey Shekyan et Artem Harutyunyan ont dans un premier temps constaté que parmi les caméras IP listées sur ce type de service, environ un modèle sur cinq voit l'accès à son administration protégé par les identifiants par défaut utilisés par le fabricant, et se révèle donc vulnérable par défaut.

Pour les autres, ils rappellent l'existence de vulnérabilités reconnues, dont l'une permet par exemple d'obtenir une image complète du système d'exploitation de la caméra, au milieu duquel figurent les identifiants des comptes administrateur. Bien que la faille en question ait été corrigée par le fabricant, 99% des caméras testées par leurs soins n'intègrent pas encore la mise à jour nécessaire.

Au-delà des risques évidents relatifs à la vie privée de l'utilisateur, les deux chercheurs estiment que ces vulnérabilités peuvent également servir d'autres desseins plus insidieux, puisqu'elles ouvrent aussi bien accès à l'administration de la caméra qu'à son système d'exploitation, aisément modifiable. Entre autres scénarios, ils évoquent l'utilisation de la caméra comme proxy pour dissimuler son activité ou l'injection, par son intermédiaire, du code malveillant sur l'ordinateur du propriétaire (en intégrant par exemple un pan de code JavaScript au sein de l'interface d'administration).

Tous deux concluent logiquement à la nécessité de bien paramétrer réseau local et appareils connectés, pour les particuliers comme pour les administrateurs réseau en entreprise, et conseillent par exemple d'appliquer, sur ce type d'appareil, des règles de filtrage par adresse IP, afin de limiter les accès indus. Récemment, les caméras Trendnet avaient eu les honneurs de l'actualité, en raison de leur propension à afficher publiquement des flux privés.
Alexandre Laurent
Par Alexandre Laurent

Alex, responsable des rédactions. Venu au hardware par goût pour les composants qui fument quand on les maltraite, passé depuis par tout ce qu'on peut de près ou de loin ranger dans la case high-tech, que ça concerne le grand public, l'entreprise, l'informatique ou Internet. Milite pour la réhabilitation de Après que + indicatif à l'écrit comme à l'oral, grand amateur de loutres devant l'éternel, littéraire pour cause de vocation scientifique contrariée, fan de RTS qui le lui rendent bien mal.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles