Des caméras utilisées dans des crèches posent de sérieux problèmes de sécurité

* Des systèmes de surveillance très utilisés par les crèches pour permettre aux parents de regarder leurs enfants jouer.
* Des affirmations selon lesquelles NurseryCam a été informée pour la première fois des problèmes il y a six ans, sans effet.

Le consultant en sécurité Andrew Tierney, peut-être mieux connu sous le surnom de «Cybergibbons», a découvert des failles de sécurité inquiétantes dans un service de vidéosurveillance largement utilisé et conçu pour permettre aux parents de regarder à distance leurs enfants jouer à la crèche.

Le service NurseryCam, qui est présenté comme «plus sûr que la banque en ligne», semble – selon Tierney – souffrir de graves vulnérabilités.

Tierney affirme que le système n’est pas protégé par la technologie TLS pour chiffrer les flux vidéo de la crèche (les ouvrant à l’écoute par des tiers non autorisés), que les parents d’enfants qui ne sont plus à la crèche peuvent toujours accéder aux flux vidéo, que les caméras que les parents ne sont pas en droit de visionner (telles que les pièces que leur enfant n’utilise pas) sont accessibles.

En outre, le partage des noms d’utilisateur et des mots de passe d’administrateur avec les parents – informations d’identification utilisées dans plusieurs crèches – ouvre la possibilité à quiconque sur Internet d’accéder aux flux vidéo en direct des enfants.

 

«Cela revient à ce que votre banque locale vous donne les clés de son coffre-fort et se contente de croire que vous ne prendrez que votre argent», dit Tierney.

 

Tierney dit qu’il a informé NurseryCam des problèmes de sécurité le 6 février 2021 et a blogué la semaine dernière sur ses préoccupations initiales.

Le chercheur a demandé à NurseryCam de supprimer son service et de s’assurer que les crèches ont bien changé leurs mots de passe en quelque chose de plus sûr ou les ont empêchées d’être exposées sur Internet. En outre, Tierney a déclaré que les crèches, ainsi que les parents (actuels et anciens) ayant des enfants dans les crèches exposées devraient être informés des problèmes.

Rien n’indique à ce jour que cela ait été fait.

Pour aggraver les choses, Tierney dit qu’il a été contacté par un parent qui avait trouvé «des problèmes presque identiques» dans NurseryCam en 2015, problèmes qui n’avaient clairement pas été résolus au cours des années suivantes.

Au moment de la rédaction de cet article, aucun avertissement n’est publié sur le site Web de NurseryCam. Tierney, qui estime que le système NurseryCam doit être «presque complètement repensé» pour résoudre les problèmes de sécurité, a des conseils stricts pour les crèches et garderies concernées :

Débranchez la connexion réseau du DVR (digital video recorder).
Contactez NurseryCam et demandez-leur d’informer immédiatement toutes les crèches concernées.
Demandez pourquoi le système pour lequel vous avez payé n’est pas celui décrit sur le site NurseryCam.

Ajouter un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs requis disposent d'un *