Plus de 3,7 millions de caméras – caméras de surveillance, baby phones, webcams, caméras de portes d’entrées et autres objets connectés – peuvent être exploitées à des fins d’espionnage en ligne par qui veut, à cause de deux protocoles de communications dangereux, basés sur le pair à pair.

Il s’agit de CS2 Network P2P, un protocole utilisé par plus de 50 millions d’appareils, et Shenzhen Yunni iLnkP2P, exploité par plus de 3,6 millions d’appareils.

Fonctionnellement, les deux protocoles seraient identiques.

Les failles de sécurité ont été découvertes par Paul Marrapese, qui travaille pour un prestataire d’informatique en nuage, et qui dédie le site https://hacked.camera/ aux caméras vulnérables aux détournements. On peut y consulter une table de préfixes d’appareils qui permettront de savoir si ses caméras sont vulnérables.

Durant la conférence DEFCON, qui s’est tenue la semaine dernière, il a expliqué en détail les vulnérabilités de sécurité.

 

 

Il a dévoilé les failles de sécurité de CS2 Network P2P à son créateur en toute confidence, qui a promis en février une version 4 corrigée.

De même, il tenta, sans succès, de converser avec Shenzhen Yunni pour les avertir des dangers de iLnkP2P, et décida de dévoiler les failles en avril 2019. En un peu plus d’un an, le nombre de caméras vulnérables a donc presque doublé.

Pour des raisons pratiques, les communications entre applications et appareils ne sont pas chiffrées. Ce qui permet à toute personne espionnant le réseau local d’obtenir aussi bien les flux vidéos que les mots de passe et autres configurations.

En devinant le numéro de d’appareil de quelqu’un, on peut parader auprès du serveur central comme l’appareil en question. Son propriétaire, croyant se connecter à son appareil, sera connecté à un serveur pirate qui n’aura aucun mal à obtenir le mot de passe et effectuer des attaques de l’homme du milieu.

Enfin, une fonctionnalité qui n’a jamais été dévoilée au public, est la possibilité de définir certains appareils comme des « super noeuds », qui relaient les données d’autres caméras.

La meilleure façon de se protéger est de jeter ces caméras dangereuses. A minima, il faudra les placer derrière un pare-feu.