Webcams : elles montrent à quel point il est difficile de sécuriser les objets connectés

Depuis le début du millénaire, les webcams sont passées du statut d’objet futuriste à celui d’appareil ordinaire. Elles sont partout. Cette nouvelle capacité à capturer des images et de la vidéo, quel que soit l’endroit, a joué un rôle capital dans le développement des réseaux sociaux. Parallèlement, cette nouvelle société axée autour de la prise de vue s’est avérée étonnamment vulnérable. L’idée d’un hacker capable de détourner l’usage de votre webcam pour vos espionner dans les moments les plus intimes de votre vie s’avère particulièrement effrayante, et appelle à la sécurisation de ces dispositifs.

Les caméras, comptent parmi les objets connectés les plus répandus. Elles sont utilisées par les particuliers ou à des fins de vidéosurveillance.

Mais qu’il s’agisse des caméras ou d’autres dispositifs, Mikko Hypponen, Chief Research Officer chez F-Secure a rebaptisé les objets connectés « Objets peu sécurisés ».

Le manque de sécurisation des objets connectés n’est pas un simple concept théorique lié à la notion d’un univers 100% connecté. Un nouveau rapport F-Secure baptisé Vulnerabilities in Foscam IP Cameras (« Les vulnérabilités des caméras Foscam IP ») répertorie les nombreuses vulnérabilités présentes sur ces caméras, pourtant distribuées par dizaines de milliers d’exemplaires à travers le globe.

« Les caméras IP Foscam recèlent de nombreuses vulnérabilités particulièrement sérieuses », explique le rapport. « Un pirate non-authentifié peut parvenir à ses fins en employant plusieurs méthodes portant atteinte, aussi bien à la confidentialité qu’à l’intégrité de l’appareil. »

Ces vulnérabilités (18 au total, avec 18 failles trouvées sur le modèle Opticam i5, et plusieurs d’entre elles présentes également sur le modèle Foscam C2) rendent possible la prise de contrôle à distance de ces appareils. Ces caméras sont souvent utilisées comme dispositif de surveillance par leurs propriétaires pour détecter des visiteurs indésirables.

Le pirate peut, par exemple, visionner le flux vidéo, contrôler les opérations de la caméra, uploader et télécharger des fichiers depuis le serveur FTP intégré. Il peut aussi, en recourant à un malware, obtenir l’accès à l’ensemble du réseau auquel la caméra est connectée.

Foscam a été informé de ces vulnérabilités, mais après plusieurs mois sans réponse, F-Secure a choisi de les rendre publiques. Foscam a déjà à son actif plusieurs bugs permettant l’accès aux flux vidéos des caméras IP et moniteurs pour bébés.

Janne Kauhanen, consultant pour les Cyber Security Services chez F-Secure, conseille aux utilisateurs d’objets connectés de changer systématiquement les mots de passe par défaut. Sans exception. Mais pour les caméras Foscam, même cette mesure n’est pas suffisante, puis que ces appareils ont recours à une authentification codée en dur. Un pirate qui connaît ces codes (en les trouvant sur internet, par exemple) peut les utiliser pour contourner le mot de passe personnalisé de l’utilisateur.

Et les vulnérabilités ne s’arrêtent pas là. Harry Sintonen, Cyber Security Services chez F-Secure, est à l’origine de leur découverte. D’après lui, ces failles « ne pourraient pas être plus sérieuses. » Le pirate dispose de plusieurs manières de prendre le contrôle de la caméra.

Si vous avez chez vous l’une de ces caméras, assurez-vous que celle-ci N’EST PAS reliée à internet. Un firewall réduira significativement le risque d’infection. Et un routeur intelligent sécurisé comme F-Secure SENSE, qui a recours à l’intelligence artificielle pour analyser le trafic de tous vos objets connectés, sera capable de détecter des utilisations suspectes de vos caméras ou moniteurs pour bébés.

La notion d’intimité liée aux caméras met en lumière les dangers de connecter un appareil sans avoir veillé préalablement à la sécurisation des données. Il convient de prendre conscience du problème sans attendre.

Les objets connectés ont été utilisés pour mener la plus large attaque par déni de service de tous les temps, mais cela n’a pas suffi aux fabricants pour tenter de remédier au problème, qui se fait pourtant de plus en plus pressant.

« Le problème dépasse de loin les failles de cette caméra, ou les négligences du constructeur », explique Janne. « Les objets intelligents, de manière générale, sont vulnérables. Je pense que le problème vient du fait que les fabricants ne voient pas la sécurité comme un aspect stratégique : elle ne va pas leur permettre de vendre davantage de produits. Et aucun doute sur le fait que ce n’est pas la préoccupation première des consommateurs. »

Peut-être l’idée de dizaines de milliers de caméras vulnérables changera-t-elle la donne.

Pour en savoir plus, et pour savoir comment protéger votre entreprise, consultez le rapport complet et regardez notre vidéo ici.