Le spécialiste de la cybersécurité SEC Consult a dévoilé que Hangzhou Xiongmai Technology Co., Ltd, l’un des plus grands fabricants d’équipements vidéo de surveillance, qui s’est déjà tristement illustré par l’exploitation de ses appareils peu sûrs par des pirates, dans le botnet Mirai et dans les attaques par déni de service contre le service de DNS Dyn qui avait affecté les services comme Netflix, Twitter, GitHut, Spotify ou Airbnb, se fait à nouveau remarquer.

Ses appareils exposent les ports TCP 23 et 9527 à tous. Ils sont tous sont livrés avec une fonctionnalité nommée « XMEye P2P Cloud », activée par défaut. Elle permet à ses utilisateurs d’accéder à leurs caméras et enregistreurs vidéo IP par Internet, par l’intermédiaire d’applications mobiles, d’applications sur le PC et d’un kit de développement logiciel, qui contactent un service sur le nuage informatique de Xiongmai.

Toutes les données, y compris les vidéos diffusées, passent par les serveurs de Xiongmai. On ne sait pas qui les gère, et ils ne conforment sans doute ni au Règlement général sur la protection des données de l’Europe, ni aux réglementations locales.

Comme les données en transit ne sont pas chiffrées, toute personne qui intercepte la connexion peut surveiller l’ensemble des données échangées.

Parce que le « P2P Cloud » contourne les pares-feux, il permet d’établir une connexion à distance dans les réseaux privés.

Un pirate peut ainsi attaquer non seulement les appareils qui ont été soit intentionnellement, soit involontairement exposés au web, mais également tous les appareils sur des réseaux privés exhibés par le P2P Cloud.

Pratiquement, chaque appareil dispose d’un identificateur unique, nommé « Cloud ID », qui est malheureusement dérivé de son adresse MAC. Or ces adresses MAC ne sont pas une bonne source aléatoire, elles sont composées notamment d’un numéro unique d’organisation (OUI) ce qui permet de deviner facilement les identificateurs valides.

Chaque OUI est enregistré auprès de l’IEEE, pour un coût de près de 3 000 euros. Xiongmai ne possède pas de OUI, et utilise en toute illégalité celui d’une dizaine d’entreprises…

Or, non seulement le mot de passe par défaut de l’administrateur d’un appareil est vide, mais en plus il existe un utilisateur caché nommé default, dont le mot de passe est toujours « tluafed » (défaut à l’envers).

Il suffit donc de connaître le Cloud ID d’un appareil pour y accéder.

D’après un balayage aléatoire de 0,02 % des appareils dans chaque portée de l’OUI, effectué en mars dernier, SEC Consult estime qu’au moins 9 millions d’appareils étaient accessibles, et que les informations passent par l’un des serveurs de Xiongmai en Chine, Allemagne, États-Unis, Singapour, Japon et Turquie, hébergés par des fournisseurs comme AWS, Alicloud Radcore, Kingsoft ou CloudVSP.

Enfin, les micrologiciels de ces appareils ne sont pas signés. Un pirate peut donc le mettre à jour avec un micrologiciel malveillant et persistant, qui ne disparaîtra pas au redémarrage.

Il va sans dire que SEC Consult recommande de ne pas ou plus utiliser d’appareil de cette entreprise. Sans doute n’en avez-vous jamais entendu parler et vous sentez vous rassurés. À tort, puisque Xiongmai produit des appareils de surveillance en OEM pour plus de cent vendeurs :

9Trading, Abowone, AHWVSE, ANRAN, ASECAM, Autoeye, AZISHN, A-ZONE, BESDER/BESDERSEC, BESSKY, Bestmo, BFMore, BOAVISION, BULWARK, CANAVIS, CWH, DAGRO, datocctv, DEFEWAY, digoo, DiySecurityCameraWorld, DONPHIA, ENKLOV, ESAMACT, ESCAM, EVTEVISION, Fayele, FLOUREON, Funi, GADINAN, GARUNK, HAMROL, HAMROLTE, Highfly, Hiseeu, HISVISION, HMQC, IHOMEGUARD, ISSEUSEE, iTooner, JENNOV, Jooan, Jshida, JUESENWDM, JUFENG, JZTEK, KERUI, KKMOON, KONLEN, Kopda, Lenyes, LESHP, LEVCOECAM, LINGSEE, LOOSAFE, MIEBUL, MISECU, Nextrend, OEM, OLOEY, OUERTECH, QNTSQ, SACAM, SANNCE, SANSCO, SecTec, Shell film, Sifvision / sifsecurityvision, smar, SMTSEC, SSICON, SUNBA, Sunivision, Susikum, TECBOX, Techage, Techege, TianAnXun, TMEZON, TVPSii, Unique Vision, unitoptek, USAFEQLO, VOLDRELI, Westmile, Westshine, Wistino, Witrue, WNK Security Technology, WOFEA, WOSHIJIA, WUSONLUSAN, XIAO MA, XinAnX, xloongx, YiiSPO, YUCHENG, YUNSYE, zclever, zilnk, ZJUXIN, zmodo, ZRHUNTER.