Votre nom :
Votre email :
Email du destinataire :

Les caméras DropCam sujettes à de nombreuses vulnérabilités

Attention, une caméra de sécurité peut se retourner contre vous

Quand des caméras de surveillance comportent des failles de sécurité, ça fait un peu désordre ! C’est malheureusement le cas des équipements DropCam, sur lesquels Google compte beaucoup pour le développement de son secteur Domotique.

Les chercheurs Patrick Wardle et Colby Moore (société Synack) auraient mis le doigt sur des vulnérabilités importantes touchant les caméras de sécurité DropCam, généralement utilisées pour la surveillance de son domicile ou de sa petite entreprise. Vendues entre 149 et 199 dollars (plus éventuellement 10 à 30 dollars par mois pour la location d’un espace en ligne afin de stocker ses vidéos), ces caméras représentent pourtant l’avenir de la Domotique (ou « maison connectée ») pour Google, qui vient de racheter Dropcam pour 555 millions de dollars (via sa société Nest).

Procédant par ingénierie inversée, les chercheurs en sécurité ont déniché plusieurs failles de sécurité, résidant notamment dans l’obsolescence des logiciels embarqués, et donc potentiellement dangereux. La plus significative concerne une vieille version de l’extension Heartbeat, qui permet (en théorie) de communiquer et d’envoyer des vidéos dans le Cloud de façon chiffrée (OpenSSL), c’est à dire non consultables en cas d’interception. Malheureusement, cette version est sensible à la faille Heartbleed, qui permet d’accéder à des informations normalement protégées.

Concrètement, les vulnérabilités découvertes par les chercheurs de Synack révèlent des risques concrets :

  • Interception possible des identifiants, des mots de passe et des communications (ex : transferts de vidéos)
  • Accès distant aux caméras, et aux appareils connectés au même réseau (ordinateurs, routeurs, serveurs multimédia, etc.)
  • Possibilité de remplacer un flux vidéo par un autre, et donc de dissimuler un cambriolage

Pour l’heure, les détails de ces vulnérabilités ne sont pas encore connus. Ils devraient cependant être dévoilés lors d’une démonstration pendant la prochaine conférence DEFCON, qui se tiendra à Las Vegas entre le 7 et le 10 août prochain.

 

Source: nextinpact.com
Images: Flickr / Steve Garfield / CC BY-NC-SA 2.0

TAGS failleréseausécuritéwebcam

Aucun commentaire

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Protection anti-spam

«« Nous sommes les chevaliers qui disent Ni  !»»

Dans le texte ci dessus, que disent ces chevaliers ?

Votre réponse :