Environ 3,5 millions de caméras de sécurité installées dans les foyers et les bureaux, principalement en Asie et en Europe, présentent de graves vulnérabilités qui exposent les propriétaires de ces gadgets au risque que des agresseurs les espionnent, volent leurs données ou ciblent d'autres appareils sur les mêmes réseaux, a averti l’organisme britannique de protection des consommateurs Which?.
« Les marques possédant des caméras potentiellement vulnérables sont Alptop, Besdersec, COOAU, CPVAN, Ctronics, Dericam, Jennov, LEFTEK, Luowice, QZT et Tenvis », précise Which? en ajoutant que toute caméra sans fil utilisant l'application CamHi et possédant un certain type de numéro d'identification unique (UID) pourrait être vulnérable à un piratage. Quelque 700 000 caméras entrant dans cette définition sont utilisées en Europe, dont 100 000 au Royaume-Uni.
Ces gadgets utilisent des fonctions de poste à poste (P2P), qui permettent aux utilisateurs de se connecter instantanément à leurs appareils lorsqu'ils se connectent. Les vulnérabilités, répertoriées sous les numéros CVE-2019-11219 et CVE-2019-11220, concernent iLnkP2P, une solution P2P développée par la Shenzhen Yunni Technology Company. Si elles sont exploitées, les failles peuvent permettre aux attaquants de contourner les pare-feu et de voler les mots de passe.
Le chien de garde des consommateurs estime que pas moins de 47 marques d'appareils photo sans fil dans le monde pourraient potentiellement présenter ces défauts. La liste complète des bidules vulnérables est disponible sur ce site géré par Paul Marrapese, un ingénieur américain en sécurité qui a découvert les problèmes.
Si vous possédez une telle caméra et qu'elle est détournée, les cybercriminels pourraient accéder aux images en direct et espionner votre maison ou votre bureau, ainsi que communiquer avec les personnes autour si la caméra est équipée d'un microphone. Ils peuvent également utiliser la caméra pour localiser votre position exacte, cibler d'autres appareils sur votre réseau domestique, ou même ajouter votre caméra à un botnet en ligne.
Bien que le changement du mot de passe par défaut réduise normalement les risques de compromission de la caméra, dans ce cas, cela n'aidera pas. « En fait, il n'y a rien que vous puissiez faire pour vous protéger contre cette faille », souligne Which?. L'organisation de défense des consommateurs a recommandé que toute personne possédant une caméra vulnérable et utilisant l'application CamHi la retire de son réseau et l'éteigne.
Lectures complémentaires: Peut‑on concevoir une maison intelligente sécuritaire?
HiChip, la société qui produit de nombreuses marques de caméras et a développé l'application CamHi, travaille avec Which? et Marrapese pour améliorer la sécurité de ses caméras. « HiChip se concentre sur la R&D en matière de caméras IP depuis plus de 10 ans et continue à améliorer la sécurité des caméras », précise un porte-parole de HiChip.
En fait, Which? a tiré la sonnette d'alarme en matière de sécurité des caméras de surveillance en octobre dernier. Ces gadgets peu sécuritaires peuvent malgré tout encore aujourd’hui être achetés sur Amazon, eBay, Wish.com et AliExpress et continuent à être utilisés dans le monde entier.
En parlant de problèmes de sécurité dans les caméras de sécurité connectées, les chercheurs d'ESET ont eux-mêmes découvert une vulnérabilité dans les caméras D-Link qui permettrait aux attaquants d'exploiter le flux vidéo.