Il y a quelques semaines, une actualité sur la BBC a attiré l’attention d’experts en sécurité : “La caméra de vidéosurveillance domestique Swann envoie la vidéo au mauvais utilisateur“.
Les événements sont à présent assez clairs : la caméra de vidéosurveillance a uploadé délibérément une série de données, puis elle l’a envoyée à la mauvaise personne. Comme dans le cas de Louisa Lewis, qui a commencé à recevoir des alertes “détection de mouvement” sur son téléphone, lesquelles montraient la cuisine d’un autre individu, dans la maison de quelqu’un d’autre, avec une personne qu’elle ne connaissait pas en train de faire la vaisselle.
Mais la raison exacte d’une telle erreur n’est toujours pas claire, et ce malgré l’explication du fabricant de la caméra de vidéosurveillance qui met en avant une erreur humaine, à savoir que deux caméras ont été fabriquées avec la même clé cryptographique pour sécuriser les communications avec leurs propriétaires, et que le propriétaire de la caméra de vidéosurveillance avait ignoré l’avertissement selon lequel “la caméra était déjà associée à un compte”.
… tout comme il n’était pas clair non plus si une telle erreur pourrait se reproduire. Ce qui est arrivé en réalité. Enfin, aucune preuve n’a été fournie pour appuyer la promesse de Swann selon laquelle “il s’agissait d’un incident isolé”. Ce qui, il est maintenant clair, ne l’était pas !
Nous le savons parce qu’une équipe d’experts en sécurité, basée en Europe, s’est réunie pour décortiquer la sécurité sur ces caméras connectées, afin d’avoir une vision plus claire sur le “pourquoi” : Ken Munro, Andrew Tierney, Vangelis Stykas, Alan Woodward et Scott Helme.
Ils ont publié leurs résultats jeudi. Voici la version TLDR de Munro sur ce qu’ils ont trouvé :
Nous avons réussi à passer des flux vidéo d’une caméra de vidéosurveillance à une autre via le service cloud, prouvant ainsi qu’un accès arbitraire à la caméra de n’importe qui était possible.
La caméra de vidéosurveillance de n’importe qui ? Difficile donc de croire à la déclaration de Swann sur l’incident “isolé”. Comme Holme le décrit dans son article, il n’existe aucun moyen pour Swann de savoir, comme l’a prétendu l’entreprise, si “d’autres données ont été piratées ou consultées”.
Comment le pourraient-ils ? S’il s’agissait d’une erreur humaine sur la ligne de production (ce qui, je pense, est un non-sens) et qu’ils n’ont pas détecté cette dernière avant d’en avoir été informé par un tiers, comment peuvent-ils savoir qu’une telle erreur ne s’est pas produite de nouveau ?
Tierney a déclaré dans son article que c’était une “astuce simple” pour faire croire à l’application Swann qu’elle communiquait avec une autre caméra et commencer ainsi la diffusion depuis l’appareil d’un autre utilisateur.
Comme signalé pour la première fois par la BBC, la nouvelle vulnérabilité concerne les messages envoyés par le serveur, les serveurs OzVision en l’occurence, à l’application Safe by Swann, l’application smartphone utilisée pour visualiser les enregistrements déclenchés par le mouvement des caméras.
Ces messages comprenaient une référence à un numéro de série unique donné à chaque caméra au niveau de l’usine. Par le biais d’outils de sécurité gratuits et couramment utilisés, ils ont en effet utilisé Charles, selon Tierney, bien que Burp ou MITMproxy auraient pu faire l’affaire, les experts ont facilement intercepté les messages. Ensuite, ils ont modifié les numéros de série. Afin de pas enfreindre les lois sur la vie privée et d’éviter de se transformer en espions sans éthique et illégaux, les experts n’ont espionné que les webcams qu’ils avaient achetées eux-mêmes.
Mais Vangelis a vérifié l’API et a trouvé que le numéro de série pouvait être listé. Les experts n’ont pas eu à deviner si un numéro listé donné les amènerait à une caméra de vidéosurveillance Swann valide : quand ils ont essayé d’ajouter un numéro de série existant, l’erreur “appareil déjà jumelé” est apparue, signifiant qu’ils avaient effectivement saisi un numéro de série existant.
En passant à une autre caméra, ils ont constaté qu’ils pouvaient visualiser son flux, sans l’authentification via un nom d’utilisateur/mot de passe, étant donné que les caméras ne vérifiaient pas si la personne regardant le flux était un utilisateur autorisé.
Tierney a déclaré que les experts ont trouvé qu’il serait possible de lister tous les numéros de série des caméras Swann en trois jours.
Swann et Ozvision, le fournisseur de la technologie cloud de Swann, ont déclaré que le problème était maintenant résolu. Selon la BBC, Swann a déclaré que la vulnérabilité ne se trouvait que dans un seul modèle : le SWWHD-Intcam, également connu sous le nom de Swann Smart Security Camera. Vous pouvez en acheter une pour environ 100$ (environ 85€] sur Amazon, même si la BBC dit qu’elles ont également été vendus par Maplin, Currys, Debenhams et Walmart.
Telle est la situation avec le fabricant de caméras Swann. OzVision, par contre, est une tout autre affaire. Tierney dit que les experts pensent que le fournisseur de services cloud était au courant du problème depuis environ neuf mois : ils ont découvert un rapport de Depth Security datant d’octobre dernier. Lorsque le problème a été porté à son attention, OzVision a envoyé les questions à Swann. OzVision n’a corrigé la vulnérabilité que lorsque Swann a fait pression, a déclaré Tierney.
L’autre problème maintenant est qu’OzVision fournit un service cloud à au moins une autre marque importante de caméra. En fait, il prétend fournir un service cloud à 3 millions de caméras intelligentes.
OzVision a déclaré à la BBC que la vulnérabilité a été corrigée lorsque le problème d’échange de flux a été découvert en juin dernier. Maintenant, il travaille pour s’assurer que ce problème a vraiment été résolu. La BBC a cité le directeur des ventes d’OzVision, Uri Kerstein :
Un problème de sécurité qui a été soulevé il y a quelques semaines a été immédiatement pris en compte et corrigé par l’entreprise et ses partenaires. OzVision procède à un examen approfondi du système pour s’assurer que les problèmes de sécurité restants ou potentiels sont résolus en quelques jours.
Cela ne rassure pas particulièrement Munro, qui a noté qu’il existe toujours un risque quand il s’agit d’une caméra de vidéosurveillance de type objets connectés (IoT) :
Je ferais en sorte de ne pas les mettre dans des endroits trop intimes comme votre chambre à coucher. Gardez à l’esprit que quelqu’un pourrait y avoir accès.
Sans blague ! Y avoir accès n’est que le début des problèmes. En effet, à partir de là, vous avez des hackers qui font chanter des femmes en les incitant à se déshabiller devant leurs webcams, vous trouvez aussi des flux vidéos de CCTV montrant des enfants à l’école diffusés en ligne, et sans oublier tous ces babyphones qui sont utilisés pour espionner les enfants (ou pour diffuser des obscénités aux bébés, selon le cas).
Malheureusement, le cas de Swann/OzVision n’est qu’un cas de plus parmi toutes ces histoires concernant les objets connectés. Mettez une caméra “de sécurité” dans le cloud, et votre vie privée peut se transformer en véritable cauchemar !
Billet inspiré de “Simple trick” floors home security camera, gives anyone access, sur Sophos nakedsecurity.