Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Multiples failles pour les caméras de sécurité Dropcam

Se méfier de ce qui est trop simple

Multiples failles pour les caméras de sécurité Dropcam

Le 15 juillet 2014 à 16h00

Deux chercheurs en sécurité préviennent que les caméras de sécurité fournies par la société DropCam ne sont pas protégées comme elles le devraient. En cas d’accès physique, elles peuvent être modifiées et leur usage peut donc être détourné, espionnant les personnes qu’elles sont censées protéger.

De l'alliée à l'ennemie 

DropCam est une entreprise rachetée par Nest (et donc par Google) pour 555 millions de dollars. Elle fournit des caméras de sécurité et d’autres produits qui doivent protéger la maison ou permettre une surveillance de certains objets. Celles-ci sont vendues entre 149 et 199 dollars, notamment en fonction de la qualité de l’enregistrement vidéo qu'elles proposent. Les caisses de l’entreprise sont ensuite alimentées par les abonnements payés par les utilisateurs pour disposer d’un hébergement en ligne, afin d’y stocker les enregistrements contre 10 à 30 dollars par mois.

 

Mais Patrick Wardle et Colby Moore, deux chercheurs en sécurité, avertissent désormais que les caméras ne sont pas exemptes de failles de sécurité, ce qui les rend vulnérables à certaines modifications. Ils ont procédé à une ingénierie inverse et ont trouvé des brèches qui pourraient permettre d’y implanter des logiciels malveillants ainsi que de fausses vidéos. Ces dernières pourraient masquer ainsi l’activité des pirates.

Sensibles à la faille Heartbleed 

Et non seulement les caméras ne sont pas exemptes de défauts, mais les logiciels internes ont clairement besoin de mises à jour. Wardle et Moore précisent en effet qu’elles embarquent une ancienne version de l’extension Heartbeat pour le protocole OpenSSL, sensible à la faille Heartbleed. Et si les utilisateurs sont donc exposés à une exploitation de la faille, même les serveurs de DropCam n’ont selon eux pas été mis à jour non plus. En clair, les communications sensément chiffrées peuvent afficher les mots de passe et autres données sensibles.

 

Pour les chercheurs, les Dropcam ont les moyens de devenir des alliés empoisonnés. Une fois piratées, les caméras peuvent en théorie être utilisées pour visiter le contenu des ordinateurs auxquels elles sont raccordées.

 

Pour l’instant, très peu de détails techniques ont réellement été donnés. Cependant, pour prouver leurs dires, Patrick Wardle et Colby Moore feront une démonstration le 10 août prochain lors de la fameuse conférence DEFCON.

Commentaires (19)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Je me demande s’il fallait pas mettre “multiples failles pour Nest” dans le titre, parce que leur seul produit c’est le thermostats. Vu que le détecteur de fumée est suspendu parce que pas au point, et maintenant le DropCam est merdique.

votre avatar







Danytime a écrit :



Je me demande s’il fallait pas mettre “multiples failles pour Nest” dans le titre, parce que leur seul produit c’est le thermostats. Vu que le détecteur de fumée est suspendu parce que pas au point, et maintenant le DropCam est merdique.





Oui mais le détecteur de fumée c’est vraiment de la techno d’avant garde, ils ont de l’avance et donc du temps avant sa mise au point finale et seront loin devant les autres pendant longtemps <img data-src=" />


votre avatar

Tant que les boites croiront qu’elles peuvent faire des économies sur la sécu sans que ça ne leur retombe dessus, ce genre de cas sera courant.

votre avatar

Les caméras Watch_Dogs IRL <img data-src=" />

votre avatar







kade a écrit :



Oui mais le détecteur de fumée c’est vraiment de la techno d’avant garde, ils ont de l’avance et donc du temps avant sa mise au point finale et seront loin devant les autres pendant longtemps <img data-src=" />





Oui, mais ce qui faisait la différence avec les autres détecteurs (il y en a partout en Amérique du Nord), c’était la mise en pause de l’alerte/désactivation par mouvement de la main. En ôtant cette fonction, c’est devenu un simple détecteur, plus esthétique certes, mais sans rien de plus, pour un prix très élevé, du coup.

J’ai 2 détecteurs de fumée NEST <img data-src=" /> + 1 thermostat NEST.


votre avatar

“En cas d’accès physique, elles peuvent être modifiées et leur usage peut donc être détourné”



Ça leur a pris longtemps leur étude pour en venir à cette conclusion ? Non parce que dans ce cas la, a peu près n’importe quel équipement réseau est faillible, pas besoin de faire d’études.

votre avatar







Aloyse57 a écrit :



Oui, mais ce qui faisait la différence avec les autres détecteurs (il y en a partout en Amérique du Nord), c’était la mise en pause de l’alerte/désactivation par mouvement de la main. En ôtant cette fonction, c’est devenu un simple détecteur, plus esthétique certes, mais sans rien de plus, pour un prix très élevé, du coup.

J’ai 2 détecteurs de fumée NEST <img data-src=" /> + 1 thermostat NEST.





Chez moi (France) j’ai pareil mais pas connecté et ça me va très bien. Bon c’est vrai que des alertes incendie c’est pas trop fréquent, donc pour éteindre je sais même pas comment, et pour le thermostat, y’a 2 boutons, 1 LCD et une molette, et ça marche même sans WiFi, sissi ! Je te jure ! <img data-src=" />


votre avatar







Icywizer a écrit :



“En cas d’accès physique, elles peuvent être modifiées et leur usage peut donc être détourné”



Ça leur a pris longtemps leur étude pour en venir à cette conclusion ? Non parce que dans ce cas la, a peu près n’importe quel équipement réseau est faillible, pas besoin de faire d’études.





C’est clair. Tu parles d’une nouvelle…



Scoop : c’est pareil avec la plupart des PC : un accès physique, et on peut y faire plein de modifications. <img data-src=" />


votre avatar







Icywizer a écrit :



“En cas d’accès physique, elles peuvent être modifiées et leur usage peut donc être détourné”



Ça leur a pris longtemps leur étude pour en venir à cette conclusion ? Non parce que dans ce cas la, a peu près n’importe quel équipement réseau est faillible, pas besoin de faire d’études.









mistigrite a écrit :



C’est clair. Tu parles d’une nouvelle…



Scoop : c’est pareil avec la plupart des PC : un accès physique, et on peut y faire plein de modifications. <img data-src=" />





C’est évident, mais tant que ça permet à des journaleux de faire de l’article à scandale…

NXi est déficitaire, il faut donc créer de la fréquentation par tous les moyens.


votre avatar







mistigrite a écrit :



C’est clair. Tu parles d’une nouvelle…



Scoop : c’est pareil avec la plupart des PC : un accès physique, et on peut y faire plein de modifications. <img data-src=" />





Scoop: un PC est modifiable <img data-src=" />


votre avatar

Comme indiqué dans un des liens de l’article, il faudra attendre le 10 août pour plus d’infos…







MasterDav a écrit :



C’est évident, mais tant que ça permet à des journaleux de faire de l’article à scandale…

NXi est déficitaire, il faut donc créer de la fréquentation par tous les moyens.





tu es sévère, un PC ne se met pas à l’extérieur et peut se sécuriser par des moyens supplémentaires (chiffrement du disque dur pour l’accès physique).



L’info ici est qu’un fournisseur de hardware ne propose de patch à des failles de sécurité connues, pour du matériel susceptible d’être installé dans une allée de jardin par exemple.



Mais je suis d’accord, en attendant plus de précisions, ça avait plus sa place dans les brèves, alors que certaines brèves lourdes de sens auraient plus leur place dans les articles.


votre avatar







_fefe_ a écrit :



L’info ici est qu’un fournisseur de hardware ne propose de patch à des failles de sécurité connues, pour du matériel susceptible d’être installé dans une allée de jardin par exemple.





Et alors ?

La caméra pourra avoir les dernières mises à jour, si un individu y a un accès physique il pourra toujours occulter l’objectif ou la remplacer par la sienne.

Les cambrioleurs n’ont pas attendu une faille heartbleed pour le faire.

Et si la caméra est dans un endroit sensible, il y a des solutions pour la sécuriser physiquement.



Enfin quand on voit les connectiques qui pendouillent sur les caméras de surveillance de certains sites sensibles, ce faux scandale de la faille heartbleed pas patchée sur une caméra… <img data-src=" />


votre avatar







MasterDav a écrit :



Et alors ?

La caméra pourra avoir les dernières mises à jour, si un individu y a un accès physique il pourra toujours occulter l’objectif ou la remplacer par la sienne.





<img data-src=" />

ce n’est pas le problème !

Là on parle d’un accès physique à un un périphérique qui permet d’accéder aux données du PC qui le pilote. <img data-src=" />





Les cambrioleurs n’ont pas attendu une faille heartbleed pour le faire.

Et si la caméra est dans un endroit sensible, il y a des solutions pour la sécuriser physiquement.



sans être cambriolé et les traces qui vont avec, tu te fais pirater ton réseau privé. C’est une autre forme de vol. <img data-src=" />





Enfin quand on voit les connectiques qui pendouillent sur les caméras de surveillance de certains sites sensibles, ce faux scandale de la faille heartbleed pas patchée sur une caméra… <img data-src=" />



C’est une société clairement orientée marché domestique. L’amalgame avec la sécurité des sites sensibles est donc hors sujet.



votre avatar

.

votre avatar







Icywizer a écrit :



“En cas d’accès physique, elles peuvent être modifiées et leur usage peut donc être détourné”



Ça leur a pris longtemps leur étude pour en venir à cette conclusion ? Non parce que dans ce cas la, a peu près n’importe quel équipement réseau est faillible, pas besoin de faire d’études.









+1 <img data-src=" />


votre avatar

il va bientôt falloir une boite firewall à mettre devant ce genre de truc fermé pour contrôler réellement leur accès à internet.



Il faudrait une sorte de reverse proxy avec authentification. Avant d’aller sur le “site” de sa camera, il faudra appuyer sur un bouton pour ouvrir le firewall chez soi.

votre avatar

Le truc que je ne veux en aucun cas chez moi, ca me rappelle trop le téléécran <img data-src=" />

votre avatar







_fefe_ a écrit :



<img data-src=" />





Rien que ce smiley résume l’état de ton cerveau d’où résultent tes âneries.

Tu veux pas comprendre que dès qu’on parle d’accès physique la majorité des systèmes de sécurité sont inutiles, grand bien te fasse dans ton petit monde idyllique.


votre avatar







MasterDav a écrit :



Rien que ce smiley résume l’état de ton cerveau d’où résultent tes âneries.





c’était pour répondre à ta demande de <img data-src=" /> à ton amalgame.





Tu veux pas comprendre que dès qu’on parle d’accès physique la majorité des systèmes de sécurité sont inutiles, grand bien te fasse dans ton petit monde idyllique.



si, je sais bien qu’avec un accès physique à mon PC, le chiffrement de mon disque dur peut ne servir à rien.

Mais là on parle d’un périphérique.

Si “tu” as accès ponctuel physiquement à une imprimante réseau, tu pourras sans doute accéder aux données qui lui sont envoyées, sûrement tronquer les impressions, mais accéder aux autres données du PC qui les envoie ?

C’est le problème avec ce périphérique (sans parler des mises à jour des protocoles d’échange du serveur de stockage).



Même si on est sur un marché domestique, il y a un minimum de sérieux à respecter dans l’élaboration du firmware, des pilotes, des droits accordés à l’installation, des logiciels et des procédés de mises à jour.



On en reparle à la mise à jour de l’article…


Multiples failles pour les caméras de sécurité Dropcam

  • De l'alliée à l'ennemie 

  • Sensibles à la faille Heartbleed 

Fermer