Des chercheurs pointent du doigt les caméras connectées du constructeur chinois Foscam, qui intègrent en dur un mot de passe, exploitable évidemment à des fins malveillantes. Une situation qui ne fait que se répéter et braque à nouveau les projecteurs sur le manque évident de sécurité dans certains périphériques du quotidien.
Dans un long rapport publié mercredi soir, la société F-Secure, plus connue pour son antivirus, s’en prend à Foscam. Basée en Chine, cette entreprise vend des caméras connectées, en nom propre comme en marque blanche (modèles vendus chez Thomson, Opticam, Netis, Qcam, Sab…). Problème, F-Secure lui a signalé un lot conséquent de 18 failles de sécurité il y a plusieurs mois, sans que le constructeur réagisse. D’où la publication d’une longue explication sur les soucis constatés.
Des problèmes qui rappellent combien la sécurité des objets connectés n’est souvent que peu considérée par les sociétés qui les produisent, tant les cas de ce genre sont fréquents. Le rappel massif de caméras XiongMai, avec identifiants écrits en dur, en était le symbole décadent.
Divers soucis, dont un identifiant codé en dur
Pour F-Secure, la sécurité des caméras Foscam est intégralement à revoir. Le nombre de vulnérabilités est élevé, mais il surtout impressionnant de voir que des objets connectés vendus en 2017 réussissent encore à rassembler deux des pires défauts possibles : des identifiants non seulement inscrits en dur dans le code des webcams, mais également très faibles. Et pour cause, il n’y a même pas de mot de passe.
On commence donc avec une porte d’entrée grande ouverte pour les pirates et autres agences de renseignement. Les identifiants sont simples à deviner et ne peuvent pas être changés. Ils sont là pour permettre une connexion à l’interface d’administration et l’émission d’un flux sur Internet. Une faille de sécurité particulièrement connue et qui n’a rien de nouveau.
Une conjonction possible de plusieurs failles
Le problème augmente avec les autres vulnérabilités. Si les pirates peuvent se connecter facilement, ils ont aussi la capacité d’exécuter du code arbitraire. En effet, ils peuvent très facilement obtenir des droits en écriture et des privilèges maximum, leur permettant alors de réaliser à peu près n’importe quoi.
Le modèle Opticam i5 HD semble être le plus touché, mais la C2 contient également des failles, F-Secure indiquant que les autres webcams n’ont pas de raison d’être moins concernées. L’éditeur estime qu’il faut considérer que toutes les webcams connectées du constructeur peuvent être piratées, le problème augmentant encore avec des failles supplémentaires et un client Telnet masqué.
Les pirates potentiels ont tellement d’outils à disposition qu’il s’agit presque d’un cas d’école.
Les choix offerts aux pirates
Un individu armé de mauvaises intentions n’aurait que l’embarras du choix. L’attaque la plus évidente est de prendre le contrôle de la webcam et donc de détourner un flux vidéo à des fins d’espionnage. Il est même possible de remplacer intégralement le firmware des webcams par des créations maison, afin d’implanter définitivement la porte dérobée qui permettra ensuite de se connecter plus facilement, et surtout de manière automatisée.
Car il est évidemment faisable d’exploiter ces faiblesses pour faire entrer les webcams connectées dans des botnets. C’est précisément de cette manière que le malware Mirai a contaminé des centaines de milliers d’objets connectés, profitant allègrement du manque de sérieux sur la sécurité pour constituer d’immenses groupes d’objets zombies, capables ensuite de lancer de grandes attaques distribuées par déni de service (DDoS), comme on l’avait vu avec Dyn.
F-Secure explique notamment que trois vulnérabilités principales peuvent être réunies rapidement pour exécuter à peu près tout et n’importe quoi : l’absence de mot de passe sans possibilité d’en mettre un sur le serveur FTP interne, la fonction Telnet « secrète » et des permissions incorrectes permettant de relancer des scripts à chaque fois que la webcam démarre.
Un problème bien trop récurrent
Dans l’état actuel des choses, F-Secure ne peut que recommander le débranchement de ces webcams, car il n’existe aucune mesure de protection réellement efficace pour se protéger des éventuelles retombées.
Le problème est malheureusement courant, l'agence de cybersécurité européenne préconisant notamment l'utilisation de labels, avec un niveau minimal de sécurité. Elle rejoint la Commission européenne et l'ANSSI française sur ce dossier, comme nous l'affirmait cette dernière il y a quelques jours. L'auto-certification est l'une des pistes privilégiées.
Bien que le sujet de la sécurité des objets connectés ait été largement relancé par Mirai (comme celui des failles stockées par les États a été propulsé à nouveau par WannaCrypt), les rapports publiés par les sociétés concernées vont souvent dans la même direction. La situation est ubuesque tellement les défauts constatés sont conséquents, comme si les fabricants ne pouvaient pas appliquer les règles les plus élémentaires dans ce domaine.
La situation est particulièrement dangereuse dans la mesure où les clients, pour beaucoup, ne sont pas sensibilisés aux problématiques de sécurité. Tous ces produits sont vendus avec un marketing orienté sur la simplicité : on branche puis on utilise. Il y a une confiance inhérente dans ces périphériques qui sont censés fournir une expérience ludique sans s’y connaître particulièrement en informatique.
Il est donc délicat de demander aux acheteurs de vérifier ces points précis, car ils ne sont pas mis en avant. Ils devraient ainsi contrôler que le mot de passe n’est pas inscrit en dur, qu’il peut être modifié, que le produit n’intègre pas de composants masqués et que les fonctionnalités n’ont pas été ajoutées en dépit du bon sens, sans tenir compte de règles que l’on peut très clairement qualifier de basiques.
Actuellement, et on ne le répètera jamais assez, la route semble encore bien longue, comme l'indiquait notamment Mozilla en janvier dernier. Foscam n'a pour sa part pas encore réagi.
Commentaires (32)
#1
Je n’ai que des Foscam chez moi et c’est évident que la sécurité de ses appareils n’ont jamais été leur point fort. Il suffit de voir les clones disponibles sur le marché.
Technologiquement, elles sont bonnes, et surtout la marque est pérenne.
Mais pour le reste, elles bavent (j’ai surpris plusieurs fois des communications la nuit vers des dns extérieurs), donc j’ai bloqué au niveau de mon parefeu toutes les WAN des IPS de mes caméras.
#2
Qui dit IoT (et autre machin IP), dit routeur/firewall personnel (à coller juste après la box).
Les box Internet sont vraiment trop minimalistes en matière de sécurité domestique.
#3
Bonjour,
Peux-tu en dire plus sur ce que tu as fais pour bloquer toutes les WAN s’il te plaît ?
#4
#5
Idem, ma foscam est bannie de connexion au net via le routeur. Accessible uniquement en LAN.
#6
J’avoue que les listes de règles allow/deny sont tout sauf digestes pour les néophytes.
Mais y a eu du progrès de ce coté, comme par exemple “NETGEAR genie”.
#7
#8
#9
Sur les NETGEAR que j’ai eu c’était effectivement le cas. Mais c’est le truc qu’on change dés le premier login : si on installe un routeur pour sécuriser son installation c’est pas pour laisser le pwd par défaut du routeur. " />
#10
#11
#12
#13
Inspecteur Bonjour, vous avez des mots de passe en dur dans votre code ?
Développeur Ah non, pas de ça chez moi…
Inspecteur (il commence à sourire, on voit qu’il se prépare à demander comment le mot de passe est créé)
Développeur …Je vais quand même pas m’embêter avec un mot-de-passe, n’est-ce-pas ?
#14
Qu’en est-il des caméras installées par les vendeurs d’alarmes ? Sont elles sures ? A-t-on des retours ?
#15
Snapchat va s’écrouler en bourse 😂
Et sinon personne ne se dit que ce n’est pas juste de la négligence ?
#16
Il vas falloir interdire à la vente tous les appareils connecté dangereux pour la sécurité comme les ours en peluche avec lesquels les enfants peuvent s’étouffer ou ceux qui brule facilement.
#17
#18
Perso,
Dans la maison de mes beaux parents, j’ai masqué toutes les lentilles de caméras des détecteurs en place => et bien ça n’a pas tardé, le prestataire a appelé pour savoir pourquoi il ne “voyait rien” sur ses écrans de contrôle quand il y avait du mouvement dans la maison …
WTF ! !
Bien entendu, il n’avait pas signalé sur son contrat qu’il avait une vue directe et permanente à l’intérieur de la maison à tout moment …
J’ai laissé les pastilles de masquage en place ! Et basta
#19
#20
C’est le prestataire pour la sécurité ?
#21
#22
Sans oublier le fameux “Bah quoi? J’ai rien à cacher!” " />
C’est drôle que tu donnes cette phrase entre guillemets, c’est exactement le slogan de Kodak en 1888 : “You Press the Button, We Do the Rest”. Comme quoi ça n’est pas neuf, c’est même une tendance allant de pair avec l’industrialisation capitalistique : l’invisibilisation des moyens nécessaires à l’obtention d’un bien, d’un service d’un côté, l’infantilisation de l’utilisateur de l’autre..
Tant qu’effectivement il n’y aura pas une sensibilisation véritable (campagnes de pub? éducation scolaire? formations?) à ces processus, il n’y aura que trop peu d’individus pour faire ce travail..
#23
Au niveau de mon router, j’interdis à toutes les IP de mes caméras d’aller sur internet.
Mon router est un USG Unifi (que je ne conseille pas aux personnes qui sont débutantes en réseau, son développement n’est pas finalisé, loin de là).
#24
Et pourtant Foscam est une marque pérenne : j’en ai depuis 10-15 ans, maintenant, dont une qui fonctionne 24h/7 depuis 10 à l’extérieur en haut d’un pylône de 5m. Quand on sait que c’est au Québec (entre -35°c et +35°c), c’est quand même du bon matos.
Autre point des Foscam par rapport aux autres actuellement : elles restent parmi les dernières à offrir un éventail de caméras non-cloud, qu’on peut configurer et utiliser sans smartphone, le tout à des prix très raisonnables.
Mais oui, elles ne sont pas des modèles de sécurité : bloquez les IP sur votre routeur, c’est tout.
Ceci dit : des Foscams (ou autres) qui bavent de temps en temps sur internet et qu’on peut bloquer en quelques secondes, sont elles moins sûres pour la vie privées que les 100% cloud (Google NestCam, par exemple) ?
#25
Je ne remet pas en cause la qualité du hardware Foscam, mais celui du software.
A l’inverse, j’ai un clone de Foscam fabriqué par HEDEN: le hardware est moins bon (image moche un peu floue) mais le software est bien meilleur que celui de foscam.
#26
Je vais être honnête : l’interface de contrôle des Foscam n’a quasiment pas changé depuis que je les connaîs. Ceci explique peut-être la carence béante niveau sécurité que l’on constate aujourd’hui.
#27
Question débile, on peut pas fabirquer une cam embarquée avec un Raspberry et un module caméra (je sais qu’il y en a pour le pi à 8M pixel) pour ce genre de besoin ?
#28
Si avec zoneminder comme programme ça fonctionne très bien.
T’as la détection des mouvements, l’alerte etc
Un pote a même un vieux smartphone comme caméra (connecté en wifi au raspberry)
#29
#30
#31
Est-ce que t’es sûr que le prestataire a pas “simplement” plus recu de signal de mouvement du tout au cours de xx heures + peut-être un système justement pour détecter taux de luminosité etc.
Il a pas forcément accès aux images en soit, juste des stats..
J’essaye pas de le défendre hein, juste ça me parait énorme comme truc ! Si c’est le cas c’est une atteinte énorme à la vie privée.. A voir aussi si leur contrat est bien légal, faudrait voir avec un juriste pour ça.
#32
Non non,
Il recevait parfaitement les signaux des différents détecteurs mais ne recevait plus les images des caméras car j’ avais masqué les lentilles avec des caches auto-collant …
Et ils ont été assez gonflés pour appeler sur un des téléphones mobiles pour savoir ce qui se passait … maousses costauds les gars " />