D-Link, Adobe, Netatmo, Eero, Ring, Guardzilla… Alex « Jay » Balan, hacker pour l’entreprise Bitdefender, énumère les dizaines de marques dont il a réussi à hacker un des appareils connectés. Comme de coutume dans le secteur de la cybersécurité, les vulnérabilités découvertes par son équipe sont remontées aux entreprises concernées, qui ont l’opportunité de les réparer avant qu’elles ne deviennent publiques.
Mais trop souvent au goût du hacker, les entreprises ne réagissent pas. Alors pour sa démonstration à la RSA conference, que Cyberguerre a pu observer en avance, le hacker a choisi de prendre un cas pratique fort : celui des babyphones équipés d’une caméra de la marque Victure. Ces produits, compris entre 40 et 100 euros, apparaissent dans les tous premiers résultats de la recherche « babyphone » sur Amazon, et ils affichent des milliers d’avis d’utilisateurs très positifs — ils sont notés à plus de 4/5.
Ce babyphone de Victure à 60 euros est concerné par la faille. // Source : Capture d’écran sur Amazon
Leur fonctionnement est basique : l’utilisateur place la caméra dans la chambre de son enfant, ou dans celle où dort son animal de compagnie si c’est lui que l’on surveille. À partir d’une app sur son smartphone ou d’un boitier dédié, il pourra ensuite accéder au flux vidéo et audio de la caméra à distance, quand il le souhaite. Un moyen de surveiller si le bébé s’est réveillé, ou si le chien est en train de mâchouiller le canapé. Le problème, c’est que les équipes de Bitdefender ont découvert qu’un hacker peut espionner ce flux à sa guise. Et bien que les chercheurs aient tenté de contacter Victure à plusieurs reprises, début décembre 2020, les failles que les chercheurs ont découvertes ne sont toujours pas corrigées.
Un serveur mal protégé suffit aux hackers
Si on entre dans le détail de son fonctionnement, le babyphone de Victure envoie le flux vidéo qu’il capte vers le cloud (c’est-à-dire vers des serveurs situés dans un data center), et ces serveurs vont ensuite l’envoyer au smartphone de l’utilisateur. Dans l’autre sens, le cloud relaie les commandes envoyées par l’utilisateur vers le babyphone.
L’avantage de ce système par cloud interposé, c’est que l’appareil n’est pas directement exposé à internet, et qu’il est donc protégé par des attaques directes. Le hic, c’est que d’après la démonstration Alex Balan, Victure ne sécurise pas suffisamment ces communications, et qu’elles peuvent donc être manipulées. Plus précisément, la caméra utilise un protocole de communication, MQTT (Message Queuing Telemetry Transport), pour annoncer son statut (autrement,dit, qu’elle vient de s’activer) à un serveur de Victure. En retour, le serveur va lui envoyer l’URL du serveur cloud où elle devra diriger son flux vidéo.
Le serveur de Victure leak les identifiants
Le problème, c’est que le serveur MQTT de Victure, dont les chercheurs ont trouvé l’adresse, affiche à n’importe quel observateur l’identifiant de tous les appareils qui s’y connectent. Alex Balan a ainsi pu collecter l’identifiant de centaines de caméras, mais aussi ceux des comptes utilisateurs qui y sont associés.
Cette fuite d’identifiants est à elle seule un problème, mais les chercheurs ont aussi trouvé un moyen d’exploiter ces données. Grâce à une commande de quelques lignes, ils parviennent à tromper le serveur MQTT de Victure. Concrètement, ils lui demandent d’envoyer le flux vidéo de la caméra de leur choix (grâce aux identifiants de la fuite) vers un serveur qu’ils contrôlent. Autrement dit, ils peuvent espionner le flux de pratiquement n’importe quelle caméra de la marque, ou du moins de n’importe quelle caméra connectée au serveur.
Les vulnérabilités des objets connectés sont trop peu réparées
Quand on parle d’IoT ou d’internet des objets, on s’imagine que les scénarios d’attaques sont limités, et impliquent que le hacker soit à proximité de l’appareil à pirater. Mais dans ce cas, l’équipe de Bitdefender peut se trouver à des milliers de kilomètres de sa cible. Pire, l’attaque n’apparaît pas comme telle, puisque les commandes paraissent légitimes. D’après Alex Balan, le seul moyen pour vraiment détecter ce genre de manipulation est de faire de la détection d’anomalie, c’est-à-dire remarquer des comportements inhabituels. Par exemple, un utilisateur qui regarderait le flux de sa caméra en continu serait suspect, car les utilisateurs de babyphone ont plutôt tendance à se connecter et se déconnecter à intervalle régulier.
Alex Balan nous explique qu’il a contacté l’entreprise à trois reprises depuis le 3 décembre 2020. « Nos rapports de sécurité sont gratuits. Nous payons beaucoup d’argent pour faire cette recherche, et les entreprises n’ont qu’à s’en saisir », rappelle-t-il. Pour lui, Victure n’est qu’un cas parmi des dizaines d’autres : « Seule une petite fraction de nos recherches sont publiées parce que nous ne recevons pas assez de réponses des entreprises concernées. Le plus souvent, il n’y a aucun moyen de contacter l’équipe en charge de la sécurité, ou alors nous parvenons à discuter avec un interlocuteur qui ne sait pas vers qui nous renvoyer… »
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
