400 000 caméras connectées menacées par des vulnérabilités graves : Guardzilla, le vendeur, laisse tomber ses clients

Mise à jour : Contactée par Cyberguerre, l’entreprise Guardzilla a répondu à nos questions le 18 janvier avançant avoir été en contact avec Bitdefender, et avoir mis à jour son application pour prévenir toutes failles potentielles. Bitdefender, après analyse des mises à jour du vendeur, nous a confirmé le 21 janvier que les vulnérabilités sont toujours présentes.

Article original : Selon Bitdefender (annonceur unique de Cyberguerre), il y aurait plus de 400 000 caméras connectées de la marque Guardzilla activées dans le monde. Or pour la marque de cyber-sécurité roumaine, chacune d’entre elles peut être attaquée par des acteurs malveillants à cause de graves failles de sécurité.

Les tests réalisés ont permis de prendre le contrôle des caméras résultant à une mise en danger de la confidentialité des utilisateurs, mais également à une menace plus large car ces dernières pourraient devenir des botnets prenant part à des attaques types déni de service.

410 000 caméras

Le 28 août dernier l’entreprise a pris contact avec Guardzilla pour communiquer les résultats de ses tests, sans réponse de sa part. Relancé en septembre, le vendeur s’est muré dans le silence. L’équipe de 0DayAllDay, durant un événement de hacking, trouvant les mêmes résultats fin septembre, a contacté Guardzilla fin octobre. Ici encore, l’entreprise n’a pas répondu.

« Indoor-Outdoor HD Camera » / Guardzilla

Guardzilla, entreprise logée à Saint-Louis, Missouri, commercialise une conséquente gamme de caméras connectées à prix réduit — une caméra d’extérieure est par exemple vendue à 50 $ sur Internet — et largement diffusée dans les boutiques américaines comme Best Buy ou Walmart. Les recherches de Bitdefender témoignent de la popularité de ces produits : l’application Guardzilla  a été, selon le Google Play Store, téléchargée de 100 000 fois et il y aurait 410 000 caméras activées au moment des attaques organisées par la firme.

Chacune de ces caméras, insiste l’entreprise, peut fournir aux attaquants un accès complet au flux vidéo qu’elles produisent mais également un accès à son code et ses programmes. Ainsi, un attaquant pourrait tromper le produit par le biais d’une fausse mise à jour et ainsi injecter du code pour faire de la caméra un botnet  par exemple. Cette dernière offrirait un contrôle total à l’attaquant qui pourrait ensuite en faire une arme dans le cadre d’une attaque par déni de services (DDos).

Sans réponse

La publication des vulnérabilités par Bitdefender et 0DayAllDay est une mauvaise nouvelle pour les clients de Guardzilla : ces informations pourraient être exploitées par des attaquants. Néanmoins l’entreprise roumaine insiste sur le fait que, sans réponse du constructeur, la publication était l’unique option pour prévenir ces attaques.

Frantisek Krejci

Les cas comme celui-ci restent minoritaires : généralement, les constructeurs profitent discrètement des travaux des entreprises de la cyber-sécurité pour éviter que les failles ne deviennent publiques. Néanmoins, dans des situations comme celles-ci, les clients se trouvent piégés et il est nécessaire de les informer pour qu’ils prennent des mesures adéquates. L’intervention des médias n’a pas changé le problème : dans une multitude de médias, les trouvailles de l’équipe 0DayAllDay ont été relayée, sans effet sur Guardzilla.

TechCrunch, revenant sur la faille trouvée par l’équipe, n’a reçu aucune réponse aux multitudes demandes réalisées auprès de l’entreprise de Saint-Louis. Seul le cabinet d’avocats représentant la marque s’est exprimé parlant de « fausses accusations » et fait savoir que son client n’a jamais été contacté par 0DayAllDay. Le patron de l’entreprise, Ted Siebenman, a lui, selon le média américain, pris la poudre d’escampette en février dernier.