Moniteurs pour bébé : des inconnus peuvent espionner votre enfant !

Objets Connectés

SEC Consult, une société autrichienne de cybersécurité, a fortement incité mercredi les propriétaires de moniteurs pour bébé MiSafes Mi-Cam à les éteindre s’ils voulaient garder leurs enfants à l’abri des regards indiscrets, ou encore les protéger vis-à-vis de discussions avec des inconnus qui errent sur internet.

moniteurs pour bébé

Les caméras connectées à internet : elles sont censées sécuriser et surveiller nos bébés, nos animaux de compagnie, nos maisons et nos bureaux. La réalité ? Trop souvent, un enfant peut tout simplement les pirater !

Voici les dernières nouvelles dans le domaine des gadgets de type Internet of Things (IoT) que vous pouvez utiliser pour espionner des individus : SEC Consult, une société autrichienne de cybersécurité, a exhorté mercredi les propriétaires de moniteurs pour bébé MiSafes Mi-Cam à les éteindre s’ils voulaient garder leurs enfants à l’abri des regards indiscrets, ou encore les protéger vis-à-vis de discussions avec des inconnus qui errent sur internet.

L’une de ces vulnérabilités appelées par l’entreprise “vulnérabilités critiques multiples” permet le piratage arbitraire de moniteurs pour bébé. Un cybercriminel peut espionner les crèches et parler à quiconque se trouvera à proximité du moniteur pour bébé, en modifiant simplement une seule requête HTTP, selon SEC Consult.

La requête HTTP modifiée permet à un hacker d’obtenir des informations sur un compte client Mi-Cam en particulier et basé dans le Cloud, ainsi que sur les moniteurs pour bébé associés, et d’afficher et d’interagir avec ces webcams connectées. Cette vidéo montre l’attaque.

Les moniteurs pour bébé ont également un firmware obsolète, truffés de nombreuses vulnérabilités connues du public : l’accès root protégé par une identification à quatre chiffres seulement (en plus du fait qu’il s’agisse toujours de l’identifiant par défaut), une fonction de récupération du mot de passe qui envoie une clé de validation à six chiffres valable 30 minutes (très pratique pour une attaque par force brute).

En ce qui concerne le logiciel, l’un des problèmes avec l’application Mi-Cam est la gestion de session défectueuse, SEC Consult dit:

Un cybercriminel peut accéder à un certain nombre d’appels API critiques avec des jetons de session arbitraires à cause d’une gestion de session défectueuse.  

Cela permet à un hacker de récupérer des informations sur le compte fourni et ses moniteurs pour bébé vidéo connectés. Les données récupérées via cette fonctionnalité sont suffisantes pour afficher et interagir avec tous les moniteurs pour bébé vidéo connectés pour l’UID [identifiant unique] fourni.  

SEC Consult ne donne pas beaucoup de détails sur ces vulnérabilités. La raison est qu’il ne sait pas comment entrer en contact avec le fournisseur afin de les divulguer de manière responsable : il a essayé de contacter MiSafes depuis décembre, sans succès. Il a également essayé de demander un support de coordination à la Chinese Computer Emergency Response Team, mais le CERT/CC a décidé de ne pas fournir de réponse ni de publier les vulnérabilités.

Quelle est la meilleure chose à faire si vous êtes l’une des 52 000 personnes qui possèdent un de ces moniteurs pour bébé ?

Éteignez-le !

Ensuite, il se peut que vous ayez envie de consulter nos conseils sur la façon de sécuriser vos moniteurs pour bébé ou d’autres caméras IP.


Billet inspiré de Another baby monitor is allowing strangers to spy on children, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.