Des caméras connectées vulnérables mettent en péril la vie privée de leurs propriétaires

Prochain article

Une équipe de chercheurs ESET spécialistes des objets connectés (IoT) vient de découvrir que la caméra D-Link DCS-2132L souffre de plusieurs failles de sécurité, dont la plus sévère d’entre elles pourrait permettre à des acteurs non autorisés d’en prendre le contrôle. Contacté par ESET, le fabricant a pu corriger certaines des vulnérabilités signalées, mais d'autres demeurent.

« Le problème le plus grave avec la caméra D-Link DCS-2132L est la transmission du flux vidéo de manière non chiffrée. Ce flux est envoyé en clair dans les deux sens - entre la caméra et le nuage, mais aussi entre le nuage et l'application de visualisation côté client. Cela facilite notamment les attaques de type “homme au milieu” (MitM), qui permettent aux intrus d'espionner les flux vidéo des victimes », explique Milan Fránik, chercheur au ESET Research Lab à Bratislava.

Un autre problème sérieux découvert avec cette caméra se trouve dans le plug-in de navigateur web « myDlink services ». Il s’agit de l’un des outils dont dispose l’utilisateur pour accéder aux images de sa caméra (les autres, dont les applications mobiles, ne faisaient pas partie de cette étude)

Ce plug-in assure la création du tunnel TCP par lequel transite le flux vidéo en direct jusqu’au navigateur du client. Mais il est également responsable de l’acheminement des requêtes des flux vidéo et audio, qu’il transfère via un port ouvert en écoute localement.

« Cette vulnérabilité particulière aurait pu avoir des conséquences désastreuses sur la sécurité de la caméra, car elle permet aux pirates de remplacer le firmware du fabricant par leur propre version piégée » explique Fránik.

ESET a signalé toutes les vulnérabilités constatées au fabricant. Certaines d’entre elles - principalement dans le plug-in myDlink - ont depuis été atténuées ou corrigées par une mise à jour, mais les problèmes de transmission non chiffrée persistent.

Pour une description plus détaillée de ces vulnérabilités et des scénarios d'attaques possibles, lisez l'article "D-Link camera vulnerability allows attackers to tap into the video stream" sur le blog d’actualité ESET WeLiveSecurity.com/fr

CONTACT PRESSE
Darina Santamaria - 06 61 08 42 45- darina.j@eset-nod32.fr

À propos d'ESET
Fondée en 1992, la société ESET est spécialisée dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public (avec respectivement les rangs de 4ème et 5ème mondial). Pionnier en matière de détection proactive des menaces véhiculées par l’Internet, ESET est aujourd'hui le leader dans ce domaine. Il est désigné comme l’unique Challenger dans le Magic Quadrant 2018 de Gartner, catégorie Endpoint Protection Platforms. À ce jour, l’antivirus ESET Nod32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. Les solutions ESET protègent aujourd’hui plus de 600 millions de postes dans le monde.

Pour plus d’informations :  www.eset.com/na/  Blog :  www.welivesecurity.com/fr/