Les caméras de surveillance à domicile présentent des risques pour la vie privée et des fuites de données en cas de piratage informatique


Le Conseil des consommateurs de Hong Kong a testé la cybersécurité de dix caméras de surveillance domestique disponibles sur le marché et a constaté qu’un seul modèle était conforme à la norme européenne en matière de cybersécurité. Dans le même temps, les neuf autres caméras posaient divers problèmes de cybersécurité, notamment la transmission de vidéos et de données sans cryptage et l’incapacité à se défendre contre les “attaques par force brute” menées par les pirates pour déchiffrer les mots de passe.

Le Conseil des consommateurs a testé la cybersécurité de dix caméras de surveillance domestique disponibles sur le marché et a constaté qu’un seul échantillon répondait aux exigences européennes en matière de cybersécurité. (Avec l’aimable autorisation du Conseil des consommateurs)

En outre, la sécurité du stockage des données de l’utilisateur aurait pu être améliorée dans de nombreuses applications, la moitié des modèles testés ayant pu accéder aux fichiers de l’utilisateur stockés dans des dispositifs intelligents par l’intermédiaire d’applications Android. Certaines applications ont même demandé une autorisation excessive.

Le Conseil invite les fabricants à améliorer la cybersécurité de leurs produits, en introduisant par exemple des conceptions anti-attaque par force brute et le cryptage de la vidéo et des données.

Les consommateurs devraient également définir des mots de passe forts pour leurs caméras de surveillance et les changer régulièrement, et faire bon usage des pare-feu et des fonctions de surveillance du réseau.

Les dix modèles de caméras de surveillance domestique testés étaient vendus entre 269 et 1 888 dollars, et offraient tous l’audio bidirectionnel, la détection de mouvement, la vision nocturne, ainsi que la commande vocale Amazon Alexa et Google Assistant. Les modèles testés provenaient de Arlo, Xiaomi, Imou, TP-Link, BotsLab, Eufy, EZVIZ, SpotCam, D-Link et Reolink.

En outre, le Conseil a chargé un laboratoire indépendant de tester la cybersécurité et la conception matérielle de ces dix modèles en se référant aux normes européennes ETSI EN 303 645 et à la norme industrielle OWASP MASVS.

Parmi les dix caméras de surveillance, Arlo obtient la note totale la plus élevée, soit quatre sur cinq, avec cinq points pour la protection contre les attaques, la sécurité de la transmission des données et des applications, et la conception du matériel, mais trois points pour la sécurité du stockage des données et le prix le plus élevé de l’échantillon, à savoir 1 888 dollars.

Les neuf autres modèles disposent d’un emplacement pour carte mémoire micro-SD, qui peut être insérée pour enregistrer des vidéos.

5 modèles ne disposent pas d’une transmission cryptée des données

Le Conseil a déclaré que la diffusion de vidéos en direct sur les appareils mobiles par l’intermédiaire de l’application permet aux utilisateurs de suivre l’évolution de la situation en temps réel.

Quatre modèles testés n’utilisaient pas le protocole SRTP (Secure Real-Time Transport Protocol) pour la transmission en direct, qui pourrait assurer le cryptage des données et l’authentification des messages. Au lieu de cela, ils ont utilisé le protocole de transport en temps réel (RTP), moins sûr et non crypté.

Les quatre modèles sont Imou (modèle : IPC-F88FIP-V2), TP-Link (modèle : Tapo C210), EZVIZ (modèle : CS-C6) et D-Link (modèle : DCS-8350LH).

En outre, le Reolink (modèle : Argus 3 Pro) utilise le protocole de transfert hypertexte (HTTP) pour transmettre des données lors de la connexion au réseau Wi-Fi de l’utilisateur sans crypter les données sensibles, de sorte que les pirates peuvent trouver les informations de compte du routeur à partir de fichiers texte ordinaires.

Le Conseil des consommateurs recommande aux fabricants d’adopter le protocole HTTPS (Hypertext Transfer Security Protocol), plus sûr, afin d’offrir une excellente protection à l’utilisateur.

4 n’ont pas réussi à se défendre contre les attaques par force brute

Le test a révélé que trois échantillons pouvaient être piratés à l’aide d’outils et de programmes automatisés qui testaient de manière répétée (attaques par force brute) toutes les combinaisons de mots de passe possibles pendant la diffusion en direct d’images animées.

Les mots de passe par défaut d’EZVIZ et de D-Link ne comportent que six chiffres ou lettres, ce qui est très faible et facile à craquer. L’Eufy (modèle : T8441X) a également pu être craqué.

Le Conseil mentionne que l’échantillon de SpotCam (modèle : Solo 2) n’a pas de limite quant au nombre de fois qu’un pirate peut se connecter avec une application de téléphone mobile pour obtenir des informations sur le compte.

Le Conseil recommande aux fabricants de ces quatre produits d’intégrer des dispositifs anti-brute-force, tels que l’authentification multifactorielle et la limitation du nombre de tentatives de saisie du mot de passe.

Les mots de passe temporaires sont valides lors de la reconnexion au compte sur 3 modèles

Chaque fois que l’utilisateur se connecte à la caméra, une clé de conversation équivalente à un mot de passe temporaire est utilisée. La clé de conversation doit expirer après la déconnexion, et l’utilisateur doit utiliser une nouvelle clé de conversation lorsqu’il se reconnecte.

Cependant, les résultats du test ont montré que lorsque les échantillons de BootsLab (modèle : P4 Pro), SpotCam et Reolink se connectaient à nouveau à la caméra, la clé de conversation utilisée lors de la connexion précédente était toujours valide. Si le pirate informatique vole l’ancienne clé de conversation, il peut se connecter à la caméra et voir l’image.

Après s’être déconnecté d’un compte ou s’être connecté à un autre compte dans la même application de téléphonie mobile, les images en direct de la caméra de surveillance peuvent toujours être vues sur Reolink lors de la connexion au compte déconnecté, ce qui constitue une faille de sécurité.

Sécurité des données insuffisante pour toutes les applications de l’échantillon Stockage

Les informations sensibles telles que les adresses électroniques, les noms de comptes ou les mots de passe étaient stockées dans des fichiers texte ordinaires sans cryptage. Les informations pertinentes n’étaient supprimées qu’après un certain temps, ce qui présentait des risques.

En outre, le navigateur intégré de la version Android de cinq échantillons ne bloquait pas l’accès aux fichiers, notamment Imou, TP-Link, Eufy, EZVIZ et D-Link, ce qui permettait aux pirates d’accéder aux fichiers de l’appareil en y implantant le code. En outre, il existe cinq échantillons d’applications de téléphonie mobile avec des droits d’accès excessifs, et les données à l’intérieur de l’appareil peuvent être divulguées, y compris Xiaomi Mi (modèle : MJSXJ09CM), Imou, BotsLab, Eufy, et EZVIZ.

Le Conseil a également souligné que la version Android de BootsLab utilise la norme obsolète de cryptage des données (DES) avec une longueur de clé plus courte de 56 bits.

Un chercheur de la City University : Ne compter que sur les fabricants pour améliorer la qualité des produits

M. Tsang Kim Fung, professeur associé au département d’ingénierie électronique de l’université de Hong Kong, estime que certains échantillons présentent des problèmes de sécurité de réseau plus importants, tels qu’un accès non autorisé au serveur, une transmission de données non sécurisée et un cryptage de données non sécurisé, ce qui peut poser des risques tels que la fuite de données privées et de données de téléphone portable.

Toutefois, la conception du produit et l’application des caméras de surveillance à domicile relèvent de la responsabilité du fabricant, et les consommateurs ne peuvent compter que sur le fabricant pour améliorer la qualité du produit.

Le Conseil rappelle aux consommateurs qu’ils doivent être vigilants lors du choix et de l’utilisation des caméras de surveillance à domicile.

Les consommateurs doivent éviter d’acheter des produits sans marque ou provenant de sources inconnues. Ils ne doivent ouvrir l’application et activer la caméra que lorsqu’une surveillance est nécessaire. Ils doivent également définir un mot de passe fort, composé d’au moins huit caractères. Le mot de passe doit également contenir une combinaison de lettres majuscules et minuscules, de chiffres et de symboles spéciaux.

Le mot de passe doit être modifié régulièrement et, si la caméra de surveillance est installée et configurée par une personne fournissant un service de porte-à-porte, le mot de passe doit être modifié immédiatement après l’installation.

En outre, les consommateurs ne devraient jamais utiliser d’appareils publics ou sans l’autorisation de l’administrateur pour se connecter à un compte et éviter d’utiliser des réseaux Wi-Fi publics pour la surveillance afin d’éviter que les données du compte ne soient enregistrées et volées.

Lire aussi : Faut-il ou pas avoir des appareils connectés à Internet dans son domicile ? Des pirates prennent le contrôle de caméras de sécurité Ring de particuliers

Source : Zero Hedge – Traduit par Anguille sous roche


Vous aimerez aussi...

1 réponse

  1. Patrick dit :

    “des risque de fuite en cas de piratage”, c’est-à-dire venant d’un pirate externe à l’entreprise, un pirate qui viendrait voler ce dont elle-même s’approprie de façon industrielle.

    Un peu comme si la Mafia installée, stigmatisait les petits dealers qui viendrait en douce s’accaparer de leur clientèle.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *