Le spécialiste de la sécurité Paul Marrapese a découvert deux vulnérabilités de sécurité, CVE-2019-11219 et CVE-2019-11220, affectant plus de deux millions d’appareils identifiés sur internet et distribués par HiChip, TENVIS, SV3C, VStarcam, Wanscam, NEO Coolcam, Sricam, Eye Sight, et HVCAM.

Voici une carte de leur distribution dans le monde:

Carte des appareils affectés par les vulnérabilités de sécurité liées à iLnkP2P

Carte des appareils affectés par les vulnérabilités de sécurité liées à iLnkP2P. Source: Brian Krebs.

Ce sont des caméras de surveillance, des caméras pour bébés, et des sonneries « intelligentes », qui utilisent un composant nommé iLnkP2P, présent dans des appareils de centaines de marques.

Ces appareils sont compatibles avec du « pair à pair », ou « P2P », ce qui permet à leurs utilisateurs de s’y connecter dès qu’ils sont en ligne.

Malheureusement, les pirates peuvent exploiter les vulnérabilités de sécurité pour les détecter et y accéder, sans que son propriétaire ne s’en aperçoive.

Il est recommandé de remplacer les appareils affectés par des appareils plus sûrs, de vendeurs plus connus.

Si ce n’est pas possible, il faut bloquer le port UDP 32100 des routeurs/de la box afin qu’on ne puisse plus accéder aux appareils de l’extérieur.

On peut savoir si l’on est affecté, en regardant l’UID de l’appareil, souvent imprimé sur une étiquette sur l’appareil.

Un UID ressemble à FFFF-123456-ABCDE. Dans cet exemple, FFFF est le préfixe.

Si le préfixe est dans la table suivante, l’appareil est vulnérable:

AID AJT AVA BSIP CAM
CPTCAM CTW DFT DFZ DYNE
EEEE ELSA ESN ESS EST
FFFF GCMN GGGG GKW HDT
HHHH HRXJ HVC HWAA HZD
HZDA HZDB HZDC HZDN HZDX
HZDY HZDZ IIII IPC ISRP
JWEV KSC MCI MCIHD MDI
MDIHD MEG MEYE MGA MGW
MIC MICHD MMMM MSE MSEHD
MSI MSIHD MTE MTEHD MUI
MUIHD NIP NIPHD NPC NTP
OBJ OPCS OPMS PAR PARC
PCS PHP PIO PIPCAM PIX
PNP PSD PTP QHSV ROSS
SID SIP SXH TIO TSD
UID VIO VSTD VSTF WBT
WBTHD WNS WNSC WXH WXO
XDBL XTST ZES ZLD ZSKJ
ZZZZ

Selon les conventions de la profession, Marrapese a informé les vendeurs affectés, en toute confidentialité, à plusieurs reprises, à partir du 15 janvier 2019, pour les informer de ses découvertes. Sans réponse.

Le 4 février, le développeur de iLnkP2P est identifié (Shenzhen Yunni Technology Company, Inc.) et informé. Aucune réponse.

L’auteur a donc finalement décidé de divulguer ces deux vulnérabilités, après les 3 mois de délai standards, sur le site https://hacked.camera/.