Une équipe de chercheurs ESET spécialistes des objets connectés (IoT) vient de découvrir que la caméra D-Link DCS-2132L souffre de plusieurs failles de sécurité, dont la plus sévère d'entre elles pourrait permettre à des acteurs non autorisés d'en prendre le contrôle. Contacté par ESET, le fabricant a pu corriger certaines des vulnérabilités signalées, mais d'autres demeurent. « Le problème le plus grave avec la caméra D-Link DCS-2132L est la transmission du flux vidéo de manière non chiffrée. Ce flux est envoyé en clair dans les deux sens – entre la caméra et le nuage, mais aussi entre le nuage et l'application de visualisation côté client. Cela facilite notamment les attaques de type "homme au milieu" (MitM), qui permettent aux intrus d'espionner les flux vidéo des victimes », explique Milan Fránik, chercheur au ESET Research Lab à Bratislava. Un autre problème sérieux découvert avec cette caméra se trouve dans le plug-in de navigateur web « myDlink services ». Il s'agit de l'un des outils dont dispose l'utilisateur pour accéder aux images de sa caméra (les autres, dont les applications mobiles, ne faisaient pas partie de cette étude) Ce plug-in assure la création du tunnel TCP par lequel transite le flux vidéo en direct jusqu'au navigateur du client. Mais il est également responsable de l'acheminement des requêtes des flux vidéo et audio, qu'il transfère via un port ouvert en écoute localement. « Cette vulnérabilité particulière aurait pu avoir des conséquences désastreuses sur la sécurité de la caméra, car elle permet aux pirates de remplacer le firmware du fabricant par leur propre version piégée » explique Fránik. ESET a signalé toutes les vulnérabilités constatées au fabricant. Certaines d'entre elles – principalement dans le plug-in myDlink – ont depuis été atténuées ou corrigées par une mise à jour, mais les problèmes de transmission non chiffrée persistent. Pour une description plus détaillée de ces vulnérabilités et des scénarios d'attaques possibles, lisez l'article “D-Link camera vulnerability allows attackers to tap into the video stream” sur le blog d'actualité ESET WeLiveSecurity.com/fr
