Votre nom :
Votre email :
Email du destinataire :

Les caméras DropCam sujettes à de nombreuses vulnérabilités

Attention, une caméra de sécurité peut se retourner contre vous

Quand des caméras de surveillance comportent des failles de sécurité, ça fait un peu désordre ! C’est malheureusement le cas des équipements DropCam, sur lesquels Google compte beaucoup pour le développement de son secteur Domotique.

Les chercheurs Patrick Wardle et Colby Moore (société Synack) auraient mis le doigt sur des vulnérabilités importantes touchant les caméras de sécurité DropCam, généralement utilisées pour la surveillance de son domicile ou de sa petite entreprise. Vendues entre 149 et 199 dollars (plus éventuellement 10 à 30 dollars par mois pour la location d’un espace en ligne afin de stocker ses vidéos), ces caméras représentent pourtant l’avenir de la Domotique (ou « maison connectée ») pour Google, qui vient de racheter Dropcam pour 555 millions de dollars (via sa société Nest).

Procédant par ingénierie inversée, les chercheurs en sécurité ont déniché plusieurs failles de sécurité, résidant notamment dans l’obsolescence des logiciels embarqués, et donc potentiellement dangereux. La plus significative concerne une vieille version de l’extension Heartbeat, qui permet (en théorie) de communiquer et d’envoyer des vidéos dans le Cloud de façon chiffrée (OpenSSL), c’est à dire non consultables en cas d’interception. Malheureusement, cette version est sensible à la faille Heartbleed, qui permet d’accéder à des informations normalement protégées.

Concrètement, les vulnérabilités découvertes par les chercheurs de Synack révèlent des risques concrets :

  • Interception possible des identifiants, des mots de passe et des communications (ex : transferts de vidéos)
  • Accès distant aux caméras, et aux appareils connectés au même réseau (ordinateurs, routeurs, serveurs multimédia, etc.)
  • Possibilité de remplacer un flux vidéo par un autre, et donc de dissimuler un cambriolage

Pour l’heure, les détails de ces vulnérabilités ne sont pas encore connus. Ils devraient cependant être dévoilés lors d’une démonstration pendant la prochaine conférence DEFCON, qui se tiendra à Las Vegas entre le 7 et le 10 août prochain.

 

Source: nextinpact.com
Images: Flickr / Steve Garfield / CC BY-NC-SA 2.0

Suggestions de contenu lié à cet article
TAGS failleréseausécuritéwebcam

Aucun commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Protection anti-spam

«1 + 1 = 2»

Dans le texte ci dessus, 1 + 1 = ?

Votre réponse :

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.