Bitfedender a récemment détecté des vulnérabilités majeures en matière de confidentialité des caméras IoT, permettant aux pirates de détourner et de transformer ces dispositifs en outils d’espionnage à part entière.

La caméra analysée par Bitdefender est utilisée à des fins de surveillance par de nombreuses familles et petites entreprises. L'appareil comprend des fonctions de surveillance standard, telles qu'un système de détection de mouvement et de son, un système audio bidirectionnel, un microphone et un haut-parleur intégrés et des capteurs de température et d'humidité.

Les vulnérabilités de sécurité peuvent facilement être exploitées pendant le processus de connexion. La caméra IoT crée un point d'accès lors de la configuration via un réseau sans fil. Une fois installée, l'application mobile correspondante établit une connexion avec le hotspot de l'appareil et s'y connecte automatiquement. L'utilisateur de l'application introduit ensuite les informations d'identification et le processus de configuration est terminé.

Le problème est que le hotspot est ouvert et qu'aucun mot de passe n'est requis. De plus, les données circulant entre l'application mobile, la caméra IoT et le serveur ne sont pas cryptées. Et pour aggraver les choses, Bitdefender a également détecté que les informations d'identification réseau étaient envoyées en texte brut depuis l'application mobile vers la caméra.

Lorsque l'application mobile se connecte à distance au périphérique, en dehors du réseau local, elle s'authentifie via un mécanisme de sécurité appelé authentification d'accès de base. Selon les normes de sécurité actuelles, cette méthode est considérée comme une méthode d'authentification non sécurisée, sauf si elle est utilisée avec un système sécurisé externe, tel que SSL. Les noms d'utilisateur et les mots de passe sont transmis par câble dans un format non crypté, codé avec un schéma Base64 en transit.

En conséquence, un attaquant peut emprunter l'identité du périphérique authentique en enregistrant un périphérique différent, avec la même adresse MAC. Le serveur se connectera avec le dernier appareil enregistré, ainsi que l'application mobile. De cette manière, les attaquants peuvent capturer le mot de passe de la webcam.

Tout le monde peut utiliser l'application, comme le ferait l'utilisateur. Cela signifie activer le son, les micros et les haut-parleurs pour communiquer avec les enfants lorsque les parents sont absents ou avoir un accès non perturbé aux images en temps réel de la chambre de vos enfants. Clairement, il s’agit d’un dispositif extrêmement invasif et son compromis a des conséquences effrayantes.

Afin d'éviter les atteintes à la vie privée, effectuez une recherche approfondie avant d'acheter un appareil IoT et lisez les commentaires en ligne susceptibles de révéler des problèmes de confidentialité. Deuxièmement, installez un outil de cybersécurité pour les objets connectés, tel que Bitdefender's Box. Ces outils analyseront le réseau et bloqueront les attaques de phishing et autres menaces.