Des webcams Wi-Fi chinoises victimes d'importantes failles de sécurité

[Einsteinium]

C’est le chercheur Pierre Kim qui a tiré la sonnette d’alarme. Initialement, il inspectait un rapport portant sur une faille de sécurité dans une webcam Wi-Fi quelconque. Un modèle blanc, sans fioriture, sans réellement de marque apparente non plus. En enquêtant, il a cependant découvert que ce modèle est bien loin d’être unique.

Il est remonté jusqu’à un produit fabriqué par une entreprise chinoise qui n’est pas nommée. Un modèle générique, nommé « Wireless IP Camera (P2P) WIFICAM » et conçu pour être repris et adapté par d’autres, ou simplement pour y coller un nouveau nom avant de la mettre sur le marché. Le chercheur a découvert que ce produit avait été repris et commercialisé sous presque 1 250 références, pour un total de 215 000 webcams en circulation.

Source : https://m.nextinpact.com/news/103657-des-webcams-wi-fi-chinoises-victimes-dimportantes-failles-securite.htm

La liste des concernées :

https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html

On y retrouve de grand nom de la Cam, les failles étant logiciel... un correctif sera certainement disponible pour les grands noms... les autres HuHu...

Voila pourquoi il faut bouclé en locale ses cams et leurs refusées toutes accès au net.

[Mic13710]

Il y a 8 heures, Einsteinium a dit :

Voila pourquoi il faut bouclé en locale ses cams et leurs refusées toutes accès au net.

Voila pourquoi j'ai installé un routeur Ubiquiti ER-X. J'ai fait un groupe de toutes mes caméras quelles que soient leurs marques et je bloque tout accès IN/OUT. Depuis, plus de tentative de connexion à des serveurs inconnus et plus de messages m'invitant à mettre à jour mes cams chinoises, ce qu'il est préférable d'éviter, à moins de lire et parler le mandarin

[doudou75]

Bonjour,

Suis naze en anglais.
Excusez moi la question. Mais quelle est le risque ?

 

A+

 

 

 

[Einsteinium]

La violation de ta vie privée ;-)

[Jérôme_D]

Nouvelle "affaire" qui concerne cette fois nos chères petites C1 :

http://www.zdnet.com/article/security-vulnerability-in-iot-cameras-could-allow-remote-control-by-hackers/

En béotien j'ai l'impression que ça ne concerne que les gens qui l'auront installé "automatiquement" et qui utilisent l'appli Foscam pour voir ce qui se passe chez eux, mais que nous qui passons par SS et installation manuelle ne sommes pas concernés ? Quelqu'un confirme ?

Dans le doute de toute façon je maintien toujours le firmware à jour (le dernier date du 15/11/17 d'ailleurs).

[Einsteinium]

Et le dernier update corrige déjà la faille de sécurité.

Perso j’ai configuré mes cam manuellement de A à Z, j’ai désactivé toutes les options superflues comme la ddns, p2p, upnp.... la maj de l’heure ce fait via le nas localement, car elle sont bloquées au niveau du modem, aucun accès pour elle à internet.

J’accord trop d’importance à ma vie privée, pour leurs ouvrir directement les vannes sur internet, j’y accède via le serveur vpn du synology à distance.

[Jérôme_D]

il y a une heure, Einsteinium a dit :

la maj de l’heure ce fait via le nas localement, car elle sont bloquées au niveau du modem, aucun accès pour elle à internet.

Ah tiens, point intéressant car il me semble que les miennes non plus n'ont pas d'accès à l'extérieur, mais pourtant elles sont à l'heure sans que j'ai fait quoique ce soit. Peux-tu me préciser les réglages pour qu'elles utilisent le serveur de temps du NAS ? Et comment est-ce possible qu'elle aillent chercher des données dehors alors qu'aucune ouverture de port n'a été faite ? (et que toutes les options que tu cites type UPnP DDNS etc sont désactivées).

[Einsteinium]

Pour faire simple, par défaut les modems bloque ce qui tente de rentré sur le réseau, il n’empêche par contre pas les appareils de communiqués avec l’extérieur eux même.

Faut au choix via un vrais pare-feu si ton modem le propose, bloqué tous les ports entrant et sortant pour tes cam, soit utilisé le contrôle parentale pour en venir à la même chose.

La ou tu règles la date, tu choisis le serveur de temps manuellement et renseigne l’ip de ton nas ;-)

[Mic13710]

Il y a 1 heure, Einsteinium a dit :

tu choisis le serveur de temps manuellement et renseigne l’ip de ton nas ;-)

à condition bien entendu que le serveur NTP du nas soit activé dans les options régionales

[Einsteinium]

il y a 16 minutes, Mic13710 a dit :

à condition bien entendu que le serveur NTP du nas soit activé dans les options régionales

Il utilise surveillance station, le serveur ntp est donc d’office activé sur le synology.

[unPixel]

Il y a 7 heures, Einsteinium a dit :

Pour faire simple, par défaut les modems bloque ce qui tente de rentré sur le réseau, il n’empêche par contre pas les appareils de communiqués avec l’extérieur eux même.

Faut au choix via un vrais pare-feu si ton modem le propose, bloqué tous les ports entrant et sortant pour tes cam, soit utilisé le contrôle parentale pour en venir à la même chose.

La ou tu règles la date, tu choisis le serveur de temps manuellement et renseigne l’ip de ton nas ;-)

Sur le routeur de Synology, il est possible de bannir un appareil. Ce qui est bien c'est qu'on peut par exemple bannir une imprimante mais l'utiliser quand même sur le réseau local.

Par contre, elle ne peut pas envoyer ou recevoir vers l'extérieur.

 

Pareil pour ma caméra de surveillance. Par précaution, elle est bannie sur mon routeur et ne peut être visible que sur le local. Pour la voir de l'extérieur, je passe par le nas qui lui reçoit son flux en local et me le transmet en extérieur.

[Einsteinium]

Ouaip, c’est le minimum syndicaliste comme blocage, je bloque mes cams et mes imprimantes. (Ce qui me fait rire quand tu cites l’exemple de l’imprimante)

[unPixel]

Pourquoi ça te fais rire ? Pas compris.

Je bloque car je n'ai aucune confiance en ces constructeurs tellement ils sont vicieux. Je préfère être certain qu'elle ne puisse pas envoyer de données à qui que ce soit.

Aujourd'hui pratiquement tous les accesssoires et autres petits appareils connectés ont de grosses failles alors si c'est des périphériques destinés à rester chez moi, je bloque.

[Einsteinium]

Sa me fait rire, car en dehors des cams, je bloque aussi mes imprimantes, comme toi, avec le tout connecté, j’ai pas confiance... les imprimantes sortent quand même des documents personnels...

Sinon les foscams C1, j’ai remarqué qu’elles envoyent à intervalle régulier des requêtes de quelques paquets (via les stats modem), certainement au serveur de la marque (pour dire coucou je suis la, je marche ?), car perso j’avais tous désactivé, avec une configuration manuel, je l’ai vue après avoir config la première à l’epoque, en allant l’a bloqué pour finir sa configuration justement 

[unPixel]

Ah ok. On est sur la même longueur d'onde alors. J'ajouterai que certains produits sont tout simplement interdits chez moi comme les bornes d'Amazon Alexa, d'Apple, de Google Home etc...

Le gros soucis pour moi des Foscam c'est qu'à une époque (est-ce encore le cas), il y avait un login et pass écrit en dur dans la caméra qu'on ne pouvait pas changer et il était facile de les hacker.

Suffit de voir les sites internet spécialisés dans le référencement des CAMs ouvertes sur la toile. Certaines sont peut-être ouvertes intentionnellement comme une piste de ski par exemple mais quand tu vois des caméras 100% privées comme des chambres d'enfants, maisons, plages etc... C'est qu'il y a un réel soucis de sécurité.

Modifié le 21 novembre 2017 par InfoYANN

[Fenrir]

Pour ma part j'ai fait simple :

• IoT en IP fixe (en dur ou via dhcp)
• pas de passerelle configurée (ou envoyée par le dhcp)
• dns interne
• ntp interne
• mac address et ip bloquées dans le parefeu quelque soit le sens
• ssid dédié pour les IoT wifi
• le tout dans un vlan dédié

il y a 24 minutes, InfoYANN a dit :

quand tu vois des caméras 100% privées comme des chambres d'enfants, maisons, plages etc... C'est qu'il y a un réel soucis de sécurité.

Si ce n'était qu'un souci de sécurité ça ne serait pas trop grave, combler ou bloquer une faille c'est souvent assez simple, malheureusement c'est un souci de société (marketing, consommation, média d'information, ...) et faire changer leurs habitudes aux consommateurs ou pire, leur demander de réfléchir 30s aux potentielles implications de leurs choix c'est presque mission impossible car c'est difficile d'expliquer un problème à quelqu'un quand apple/google/tf1 se pointent avec toute leur force de frappe pour dire qu'il n'y a pas de problèmes ... Même les médias soit disant IT racontent n'importe (il suffit de voir le nombre de conneries qu'ils sortent autour des VPN).

[unPixel]

Sans vouloir te manquer de respect, on est pas tous des pros du réseau Fenrir alors mettre en place tout ce que tu as mit m'a l'air un peu compliqué.

D'ailleurs, que veut-dire l'abréviation IoT que tu écris stp ?

 

Quant à ce que tu dis ensuite, c'est vrai, tu as entièrement raison. D'ailleurs, je n'aime pas trop le terme "media" car pour moi ce sont des "merdias". Dans tous les domaines, ils disent des c*nneries. Sports, économie, politique, science etc...

Mais comme tu dis, c'est toute la société qui est malade. Ça me fait penser qu'on doit être des complotistes, timbrés, paranos etc... aux yeux du monde avec notre dégooglelisation, la sécurité qu'on essaie de mettre en place etc...

Quand je vois que dans mon sport on nous fait passer pour des terroristes... Ce monde est malade !

[Fenrir]

Tout ce que j'ai indiqué est à la portée du plus grand nombre sauf les vlan (c'est pour ça que c'est en dernier, en fait c'est même classé du plus accessible au plus complexe).

IoT : Internet of Things/Internet des Objets

[unPixel]

Merci, je vais aller lire ça.