Les appareils photos numériques intègrent de plus en plus des fonctionnalités réseau, pour envoyer des photos sur Internet par exemple. Mais la sécurité ne semble pas être la préoccupation principale des concepteurs, et pirater des photos peut devenir un jeu d’enfant…
Nos appareils électroniques du quotidien sont de plus en plus connectés, ou connectables : réfrigérateurs, pèse-personnes, etc. Et les appareils photo numériques n’échappent à la règle ! Mais, comme souvent, la simplicité d’utilisation l’emporte sur la sécurisation des données : aucun chiffrement, voire aucune authentification. Conséquence : des attaques informatiques basiques peuvent suffire à intercepter des clichés, ou même à prendre illégitimement des photos à distance.
C’est en tout cas ce que révèlent Daniel Mende et Pascal Turbing (ERNW) dans leur dernière étude, qui dissèque notamment le modèle phare de Canon, le EOS 1D-X (d’autres appareils d’autres marques sont bien entendu eux aussi concernés). Le Canon EOS 1D-X propose deux façons de se connecter à un réseau : soit en Ethernet (câble RJ-45), soit en Wi-Fi (option) :
Une fois connecté, l’APN met à disposition de l’utilisateur 4 modes de communication distincts :
- FTP (File Transfer Protocol) : Transfert d’images sur un serveur FTP
- DLNA (Digital Living Network Alliance) : Visionnement des images sur un téléviseur compatible DLNA ou sur un autre appareil
- WFT (Wireless File Transmitter) : Capture, visionnement et téléchargement des images à distance à l’aide d’un navigateur Web
- EOS Utility : Capture, visionnement et téléchargement des images à distance à l’aide du logiciel EOS
Sécurité des connexions : 0/4
En mode FTP, les photos envoyées sur le réseau circulent en clair (aucun chiffrement) : un pirate, connecté au même réseau, n’a alors plus qu’à repérer les identifiants utilisés, se les approprier, pour enfin accéder librement au serveur FTP et saisir toutes les photos téléchargées.
Le mode DLNA, quant à lui, n’impose tout simplement aucune identification : les données circulent librement en mode HTTP, et peuvent être interceptées à tout moment.
Le mode WFT permet de contrôler l’APN à distance via une application Ajax (une technologie bien connue des hackers et cybercriminels) : il nécessite une authentification, mais qui s’avère peu robuste puisque l’identifiant est codé sur seulement 4 octets (soit un maximum de 65 535 identités possibles), et est crackable en à peine 20 minutes. La connexion n’est pas chiffrée.
Quant au EOS Utility, basé sur un protocole propre à Canon (PTP/IP pour Picture Transfer Protocol over IP), il est là encore assez facile de contourner l’authentification, pour accéder à toutes les commandes PTP.
APN connectés : les bonnes pratiques
De nombreux appareils photo numériques n’ont pas intégré de protocole sécurisé pour garantir l’intégrité des données échangées sur un réseau. Le principal danger réside en effet dans la fiabilité des personnes connectées au même réseau informatique. Il faut donc préférer connecter son APN sur un réseau de confiance, sécurisé, et dont on sait que les autres personnes connectées n’ont pas de mauvaises intentions. Connecter son APN sur le hotspot Wi-Fi d’un bar ou d’un hôtel est par exemple fortement déconseillé !
En espérant que les prochaines générations d’appareils photo numériques connectés soient pourvues d’un minimum de sécurité…
Sources : 01net.com / ernw.de
Image : Flickr / urbanshoregirl / CC BY-ND 2.0
4 commentaires
Appareils photos connectés : un léger problème de sécurité ! | Panoptinet | Intervalles | Scoop.it a dit :
20 mars 2013 à 15 h 08 min (UTC 2)
[...] Une fois connectés à un réseau, les appareils photos numériques sont de véritables passoires niveau sécurité. Pourquoi ? Quelles sont les bonnes pratiques ? [...]
Appareils photos connectés : un léger problème de sécurité ! | Panoptinet | secnum | Scoop.it a dit :
21 mars 2013 à 11 h 08 min (UTC 2)
[...] Une fois connectés à un réseau, les appareils photos numériques sont de véritables passoires niveau sécurité. Pourquoi ? Quelles sont les bonnes pratiques ? [...]
Appareils photos connectés : un léger problème de sécurité ! | Libertés Numériques | Scoop.it a dit :
21 mars 2013 à 12 h 54 min (UTC 2)
[...] Les appareils photos numériques intègrent de plus en plus des fonctionnalités réseau, pour envoyer des photos sur Internet par exemple. Mais la sécurité ne semble pas être la préoccupation principale des concepteurs, et pirater des photos peut devenir un jeu d'enfant…Nos appareils électroniques du quotidien sont de plus en plus connectés, ou connectables : réfrigérateurs, pèse-personnes, etc. Et les appareils photo numériques n'échappent à la règle ! Mais, comme souvent, la simplicité d'utilisation l'emporte sur la sécurisation des données : aucun chiffrement, voire aucune authentification. Conséquence : des attaques informatiques basiques peuvent suffire à intercepter des clichés, ou même à prendre illégitimement des photos à distance. [...]
Appareils photos connectés : un léger problème de sécurité ! | Panoptinet | Chronique des Droits de l'Homme | Scoop.it a dit :
23 mars 2013 à 11 h 03 min (UTC 2)
[...] Une fois connectés à un réseau, les appareils photos numériques sont de véritables passoires niveau sécurité. Pourquoi ? Quelles sont les bonnes pratiques ? [...]