Actualités

Configuration de la caméra

La caméra analysée est un appareil connecté doté de fonctions de surveillance aussi bien pour les particuliers que les PME. Elle offre un système de détection de sons et de mouvements, un système de transmission audio bidirectionnelle, un haut-parleur, une berceuse intégrée pour endormir les enfants, des capteurs de température et d’humidité ainsi  qu’un lecteur de carte micro SD/SDHC.

A la maison, cette caméra connectée peut donc être utilisée comme un système de surveillance, mais aussi comme un babyphone. Cet appareil est généralement utilisé, à la fois comme système de surveillance de la maison, mais aussi comme un interphone bébé, et peut également être un moyen de communication entre les parents et leurs enfants.

L’appareil respecte les étapes d’installation habituelles de l’IoT en créant un hotspot Wi-Fi temporaire pour sa configuration. Une fois l’application mobile installée, elle se connecte automatiquement au hotspot Wi-Fi de la caméra. L’utilisateur doit ensuite renseigner la clé WEP/WPA de son réseau Wi-Fi dans l’application, qui sera transmise à la caméra. L’installation est terminée, une fois que la caméra est connectée au réseau Wi-Fi de l’utilisateur.

Image 1. Capture d’écran de l’application mobile

Vulnérabilités

En examinant minutieusement l’appareil lors du test, les chercheurs de Bitdefender ont observé les failles de sécurité suivantes :

1. Le hotspot Wi-Fi de la caméra est public et aucun mot de passe n’est requis.

2. La clé WEP/WPA est envoyée en clair, sans chiffrement, de l’application mobile vers l’appareil.

3. Les données envoyées entre l’application mobile, l’appareil, et les serveurs sont juste codées et non chiffrées.

Image 2. Les identifiants du réseau Wi-Fi envoyés en clair lors du processus de configuration

Les attaques possibles

Deux cas d’attaques sont possibles. Premièrement, lorsque l’application mobile se connecte à l’appareil via un hotspot, elle s’authentifie à travers un mécanisme de sécurité basique d’authentification HTTP[1]. Selon les nouvelles normes de sécurité, cette technique d’authentification est considérée comme étant non sécurisée, à moins qu’elle ne soit utilisée conjointement avec un système de sécurité externe tel que le protocole SSL. Les noms d’utilisateurs et mots de passe sont alors transmis dans un format non chiffré, codé en Base64.

“ Base64 est un schéma de codage, c’est-à-dire qu’il est réversible et n’est pas utilisable pour sécuriser efficacement des données“ affirme Radu Basaraba, chercheur en malwares chez Bitdefender.

Deuxièmement, même si la communication entre l’appareil et les serveurs push se fait en HTTPS, l’authentification de l’appareil est faite avec l’adresse MAC (Media Access Control) uniquement.

Lors de chaque démarrage, puis à intervalles réguliers, l’appareil envoie un message UDP[2] (Unité de Données de Protocole) au serveur d’authentification contenant les données de l’appareil, un numéro d’identifiant représenté par l’adresse MAC  et un code à 36 caractères. Cependant, le serveur cloud ne vérifie pas ce code, il fait confiance à l’adresse de l’appareil MAC pour effectuer l’authentification.

En conséquence, un attaquant peut enregistrer un appareil différent en utilisant l’adresse MAC de l’appareil original, dans le but de tromper le serveur. Il  communiquera alors, avec l’appareil enregistréen dernier sur la liste, même s’il est corrompu. Il en est de même pourl’application mobile. Cela permet à l’attaquant de récupérer le nouveau mot de passe de la caméra si l’utilisateur a changé celui par défaut.

Pour accélérer le processus et récupérer plus rapidement le mot de passe, un attaquant peut tirer profit de la fonctionnalité d’envoi de notifications push.

En effet, les utilisateurs peuvent choisir de recevoir des notifications sur leur smartphone, plus particulièrement des alertes vidéo envoyées à chaque fois que la caméra détecte un son ou un mouvement suspect dans la maison. Lorsque l’utilisateur ouvre l’application pour voir l’alerte, l’application s’authentifiera via un protocole http, et enverra ainsi le nouveau mot de passe non chiffré, à l’appareil contrôlé par le pirate.

Dès lors, ce dernier n’aura plus qu’à entrer le nom d’utilisateur, le mot de passe et l’identifiant, afin de prendre totalement le contrôle de la caméra connectée via l’application mobile.

Image 3. Notification push reçue sur un smartphone

Image 4. Commandes d’envoi de notification

Image 5. Ajout des identifiants volés

“ N’importe qui peut utiliser l’application de la même façon que le propriétaire de la caméra“ déclare George Cabau, chercheur antimalware chez Bitdefender, “C’est-à-dire allumer l’audio, le micro et le haut-parleur pour communiquer avec les enfants lorsque les parents sont absents, ou encore avoir accès en temps réel aux images de la chambre des enfants. Clairement, c’est un appareil extrêmement intrusif, et sa compromission peut entraîner des conséquences effrayantes. “

Une autre attaque possible est l’injection de commande. Un attaquant peut effectuer une requête HTTP, pour configurer une autre adresse de serveur NTP. Etant donné que la nouvelle valeur n’est pas vérifiée, n’importe quelle commande malveillante peut être insérée et automatiquement exécutée, causant l’altération de l’appareil, par exemple.

“Cela revient à dire qu’un attaquant peut prendre le contrôle total de l’appareil, et l’utiliser pour des attaques DDOS [1]contre des cibles spécifiques, comme nous l’avons observé pour le tristement célèbre Botnet Mirai “ affirme Radu Basaraba.

Conseils pour les utilisateurs

Cette recherche démontre comment l’exploitation des vulnérabilités des appareils connectés peut avoir de sérieuses conséquences pour les utilisateurs. Bitdefender conseille aux utilisateurs de :

1. Faire des recherches approfondies avant d’acheter un appareil connecté pour un usage domestique. Les tests en ligne peuvent révéler des problèmes de sécurité rencontrés par d’autres utilisateurs.

2. Tester les objets connectés afin de comprendre comment ils fonctionnent (si cela est possible) : comment se connectent-ils à Internet ? A quelles données peuvent-ils accéder ? Où les données sont-elles enregistrées et sous quelles conditions ?

De bonnes recherches sur ces nouveaux appareils peuvent aider les utilisateurs à bien évaluer les risques et bénéfices. Cet appareil peut-il être un danger pour ma vie privée ? Une personne peut-elle infiltrer mon réseau Wi-Fi grâce aux données collectées, et ainsi intercepter mes conversations privées, ou encore voler d’autres informations personnelles ?

3. Lire la déclaration de confidentialité avant d’activer l’appareil et de le connecter à Internet.

4. Installer une solution de sécurité sur son mobile, afin d’être averti des risques de sécurité que peut présenter une application mobile installée.

5. Sécuriser son réseau Wi-Fi domestique. La nouvelle gamme de solutions Bitdefender 2017intègre désormais un module de contrôle de sécurité des réseaux sans-fil, Wi-Fi Security Advisor, qui évalue la sécurité et les vulnérabilités des connexions, notamment avec la solution Bitdefender Total Security
Multi-Device 2017disponibleici.

Divulgation des données et statut des vulnérabilités

Bitdefender a divulgué ces informations en accord avec le fabricant de l'objet connecté cité. Bien entendu, les vulnérabilités ont été signalées conformément à la politique de divulgation de vulnérabilités de Bitdefender. Selon cette politique, les fabricants sont officiellement informés des découvertes et encouragés à résoudre les bugs/failles dans leurs produits. Les résultats sont rendus publics 30 jours après la déclaration initiale.

Les problèmes de sécurité découverts sur l’appareil étudié sont toujours présents sur la dernière version (2.02) du firmware de l’appareil. Cependant, le fabricant travaille actuellement sur un correctif de sécurité.

L'analyse technique a été réalisée par les chercheurs de Bitdefender, Dragos Gavrilut, Radu Basaraba et George Cabau.

Télécharger le livre blanc Bitdefender sur l’Internet des Objets ICI