Aller directement au contenu
enregistreur de videosurveillance
Produits et Services PRODUITS & SERVICES

Un enregistreur de vidéosurveillance qui capture des images et les envoie par email en Chine !

Un enregistreur de vidéosurveillance qui capture des images et les envoie par email en Chine !

enregistreur de videosurveillanceLes experts de Pen Test Partners, basés en Angleterre, sont déjà bien au fait des failles de sécurité qui peuvent être trouvées parmi les objets connectés.

Récemment, ils se sont tournés vers Shodan, un site web spécialisé dans la recherche d’objets connectés à Internet, afin de jeter un coup d’œil aux enregistreurs de vidéosurveillance () : ces gadgets que l’on voit de plus en plus dans l’univers des objets connectés, en particulier au niveau des caméras de surveillance, omniprésentes de nos jours, et qui servent à capturer des images ou séquences.

Le post de Pen test Partners, écrit par Andrew Tierney, à propos de ce qu’ils ont trouvé, est rempli de lignes de codes sur comment il a accédé à une interface racine locale, au niveau de l’enregistreur de vidéosurveillance. Il explique également comment il a pu l’utiliser pour mettre au jour une interface racine distante non-authentifiée, et impossible à désactiver, qu’un hacker pourrait très bien utiliser pour compromettre et contrôler l’équipement en question, confortablement assis devant son ordinateur portable.

Mais il a trouvé encore bien d’autres choses !

Selon Pen Test Partners, l’équipement n’avait pas de protection , ainsi des hackers pouvaient duper des utilisateurs en les poussant à cliquer sur des liens, afin de lancer des actions malveillantes. Il n’a pas non plus de système de verrouillage, ainsi des hackers peuvent deviner les mots de passe autant de fois que nécessaire. Il communique sans HTTPS, permettant, ainsi une interception ou une falsification. Enfin il n’existe pas de mise à jour du firmware, vous laissant sans solution face à tous ces problèmes !

Mais le plus curieux, reste que cet équipement capture des images statiques, à partir de flux vidéos, et les envoie par email à une adresse qui semble être hébergée en Chine.

Nous savons déjà de quoi ces caméras de surveillance sont capables : l’entreprise américaine Risk Based Security (RBS), a récemment consulté le firmware d’une marque de caméras de surveillance assez répandue, et a trouvé que le mot de passe racine était codé en dur, au niveau de l’interface web, à partir de laquelle les utilisateurs pouvaient gérer la caméra, en la faisant bouger à distance et en utilisant le zoom.

En d’autres mots, n’importe qui peut se connecter à ce modèle spécifique d’enregistreur de vidéosurveillance.

Cette situation est très préoccupante d’un point de vue de la protection de la vie privée, étant donné que la plupart des images capturées venaient de caméras de vidéosurveillance installées dans des lieux privés, et tous ces clichés ont été pris par des enregistreurs connectés à internet.

Chez Pen Test Partners, des experts se posent déjà la question de la réelle sécurité de ces enregistreurs de vidéosurveillance.

La réponse est simple : ces enregistreurs ne sont pas du tout sécurisés.

L’enregistreur de vidéosurveillance que l’équipe de Tierney a acheté sur Amazon, avait été chois au hasard : ils sont venus avec ce modèle bon marché, fabriqué par une entreprise nommée MVPower, à propos de laquelle ils n’avaient trouvé aucun information.

En plongeant en profondeur au sein du code du firmware de l’équipement en question, Pen Test Partners a trouvé que les images étaient capturées à partir de flux de la caméra de vidéosurveillance, et étaient envoyées ensuite à une mystérieuse adresse email : lawishere@yeah.net.

Comme le montre une capture d’écran du code du firmware, le sujet de cet email est “qui estes vous ?”.

Le corps du message de l’email contient une image, de 320×180 pixels, capturée à partir de la caméra de vidéosurveillance.

Cette adresse email était hébergée au niveau d’un fournisseur d’email chinois, selon Softpedia.

Pen Test Partners a découvert que le firmware avait été emprunté au référentiel JUAN-Device GitHub, et géré par un dénommé Frank Law.

Pourquoi un enregistreur de vidéosurveillance capture des images et les envoie à Frank Law ?

Tierney a déclaré que Pen Test Partners n’en savait pour l’instant pas plus.

Les experts avaient découvert qu’auparavant, quelqu’un d’autre avait déjà rapport ce problème, sur la page GitHub de Frank Law. Cependant entre temps, Law a retiré le référentiel, sur lequel le firmware avait été  développé.

Pour l’heure, selon un post de Tierney datant de mercredi 10 février 2016, l’adresse email de Frank Law semble être toujours active.

D’ailleurs, à partir de cette date, a été envoyé frame par frame, l’intro de “Button Moon” (pour ceux qui n’habitent pas en Angleterre : “Button Moon” est un programme de divertissement anglais des années 80. Il raconte les aventures de Mr. Spoon, qui vit avec sa famille composée d’ustensiles de cuisine sur la planète Junk).

Tierney m’a raconté que c’était la seule chose qu’il pouvait enosager, afin de tester le résultat :

La seule source de vidéo analogique provenait de mon serveur test, sur lequel se trouvait ma collection d’émissions pour enfants des années 80. Ainsi je l’ai utilisée pour alimenter l’enregistreur de viéosurveillance, qui marche à merveille.

Je lui ai demandé s’il continuait toujours à saturer la boite mail de Frank Law avec les aventures de Mr. Spoon, et depuis combien de temps il effectuait ces envois.

Il m’a répondu que non. En fait, Pen Test Partners avait coupé tous les liens après avoir découvert à quel point cet enregistreur de vidéosurveillance pouvait être néfaste, ce qui est survenu assez rapidement :

Il a fonctionné pendant une période de tests assez courte, donc pas tant que cela en réalité ! J’ai arrêté tous les accès internet à partir de l’enregistreur de vidéosurveillance dès que j’ai réalisé que cela était néfaste.


Billet inspiré de “DVR snaps stills from CCTV surveillance and sends them to China” par Lisa Vaas de Naked Security
Partagez “Un enregistreur de vidéosurveillance qui capture des images et les envoie par email en Chine !” avec http://wp.me/p2YJS1-2uq

Lire des articles similaires

1 commentaire

Les commentaires sont fermés.