Multiples vulnérabilités dans un modèle chinois de caméra Wi-Fi très répandu

Elles sont commercialisées sous les marques 3com, Akai, Braun, D-Link, Polaroid, 

Storex, ou encore - et l’on savourera l’ironie - SafeHome et HomeGuard, pour un total de plus de 1250 références. Il s’agit de caméras de surveillance domestique connectées sans fil conçues dans les bureaux d’un même et unique fabricant chinois, sur la base de la Wificam.

Dans un billet, Pierre Kim, le chercheur qui vient de lancer l’alerte, explique que l’interface Web d’administration est personnalisée pour chaque marque, mais le logiciel sous-jacent est toujours le même : GoAhead, d’Embedthis Software, l’un de ceux qui commercialisent justement ces caméras. Celui-ci assure toutefois que GoAhead n’est pas affecté ; pour l’éditeur, le problème vient des développements spécifiques réalisés autour de cette base logicielle par le constructeur chinois OEM des caméras de surveillance. Des développements largement réutilisés. 

Et selon Pierre Kim, les vulnérabilités sont nombreuses et permettent d’exécuter à distance des commandes avec le niveau de privilèges le plus élevé, en mode root. Le chercheur fait ainsi état d’une porte dérobée accessible via telnet, d’une clé privée RSA intégrée à un certificat, d’une interface Web dont il est aisé de contourner les mécanismes d’authentification, ou encore l’accès aux flux vidéo sans authentification. Et c’est sans compter avec protocole de service Cloud et à la robustesse toute relative. Basé sur un tunnel capable de « contourner NAT et pare-feu, ce protocole permet à un attaquant d’accéder aux caméras internes (si elles sont connectées à Internet) », explique Pierre Kim.

Ce dernier recommande sans ambages de « déconnecter immédiatement les caméras [concernées] d’Internet ». Selon le moteur de recherche spécialisé Shodan, il faudrait compter près de 200 000 caméras accessibles directement en ligne. 

De graves vulnérabilités ont été également été découvertes dans les caméras IP et les enregistreurs vidéos de Dahua : ce qui ressemble à une porte dérobée permet de télécharger la base de données complète des comptes utilisateurs pour ensuite se connecter aux équipements avec n’importe quel compte administrateur. Le constructeur a reconnu la faille et propose des firmwares mis à jour. Mais s’il le fallait, ces deux incidents soulignent encore fois, si c’était nécessaire, la criticité de la question de la sécurité des objets connectés.