Moniteurs pour bébé : des inconnus peuvent espionner votre enfant !

Objets Connectés

SEC Consult, une société autrichienne de cybersécurité, a fortement incité mercredi les propriétaires de moniteurs pour bébé MiSafes Mi-Cam à les éteindre s’ils voulaient garder leurs enfants à l’abri des regards indiscrets, ou encore les protéger vis-à-vis de discussions avec des inconnus qui errent sur internet.

moniteurs pour bébé

Les caméras connectées à internet : elles sont censées sécuriser et surveiller nos bébés, nos animaux de compagnie, nos maisons et nos bureaux. La réalité ? Trop souvent, un enfant peut tout simplement les pirater !

Voici les dernières nouvelles dans le domaine des gadgets de type Internet of Things (IoT) que vous pouvez utiliser pour espionner des individus : SEC Consult, une société autrichienne de cybersécurité, a exhorté mercredi les propriétaires de moniteurs pour bébé MiSafes Mi-Cam à les éteindre s’ils voulaient garder leurs enfants à l’abri des regards indiscrets, ou encore les protéger vis-à-vis de discussions avec des inconnus qui errent sur internet.

L’une de ces vulnérabilités appelées par l’entreprise « vulnérabilités critiques multiples » permet le piratage arbitraire de moniteurs pour bébé. Un cybercriminel peut espionner les crèches et parler à quiconque se trouvera à proximité du moniteur pour bébé, en modifiant simplement une seule requête HTTP, selon SEC Consult.

La requête HTTP modifiée permet à un hacker d’obtenir des informations sur un compte client Mi-Cam en particulier et basé dans le Cloud, ainsi que sur les moniteurs pour bébé associés, et d’afficher et d’interagir avec ces webcams connectées. Cette vidéo montre l’attaque.

Les moniteurs pour bébé ont également un firmware obsolète, truffés de nombreuses vulnérabilités connues du public : l’accès root protégé par une identification à quatre chiffres seulement (en plus du fait qu’il s’agisse toujours de l’identifiant par défaut), une fonction de récupération du mot de passe qui envoie une clé de validation à six chiffres valable 30 minutes (très pratique pour une attaque par force brute).

En ce qui concerne le logiciel, l’un des problèmes avec l’application Mi-Cam est la gestion de session défectueuse, SEC Consult dit:

Un cybercriminel peut accéder à un certain nombre d’appels API critiques avec des jetons de session arbitraires à cause d’une gestion de session défectueuse.  

Cela permet à un hacker de récupérer des informations sur le compte fourni et ses moniteurs pour bébé vidéo connectés. Les données récupérées via cette fonctionnalité sont suffisantes pour afficher et interagir avec tous les moniteurs pour bébé vidéo connectés pour l’UID [identifiant unique] fourni.  

SEC Consult ne donne pas beaucoup de détails sur ces vulnérabilités. La raison est qu’il ne sait pas comment entrer en contact avec le fournisseur afin de les divulguer de manière responsable : il a essayé de contacter MiSafes depuis décembre, sans succès. Il a également essayé de demander un support de coordination à la Chinese Computer Emergency Response Team, mais le CERT/CC a décidé de ne pas fournir de réponse ni de publier les vulnérabilités.

Quelle est la meilleure chose à faire si vous êtes l’une des 52 000 personnes qui possèdent un de ces moniteurs pour bébé ?

Éteignez-le !

Ensuite, il se peut que vous ayez envie de consulter nos conseils sur la façon de sécuriser vos moniteurs pour bébé ou d’autres caméras IP.


Billet inspiré de Another baby monitor is allowing strangers to spy on children, sur Sophos nakedsecurity.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.