Les clones de certaines caméras IP de type « FOSCAM » présentent des failles de sécurité qui permettent à un attaquant, lorsque la caméra peut être connectée au Wifi et que le Wifi est configuré dans les paramètres de la caméra, d’accéder au SSID du routeur Wifi auquel la caméra est connectée et à la clé secrète qui permet de se connecter à ce routeur. Il est aussi possible, dans certains cas, d’accéder au nom d’utilisateur et au mot de passe d’un ou plusieurs utilisateurs, disposant ou non de privilèges d’administration.
Outre la possibilité de visualiser le flux vidéo et dans certains cas de capter le flux audio transmis par la caméra et de la contrôler, cette faille permet entre autres de récupérer les informations de configuration de la caméra, qui contiennent souvent des informations personnelles comme l’adresse email d’un ou plusieurs utilisateurs et administrateurs de la caméra, ou encore, lorsque la caméra est configurée pour envoyer un email à un ou plusieurs destinataires lorsqu’un mouvement ou un son est détecté et lorsque l’envoi des emails par la caméra requiert l’authentification sur un serveur smtp, le mot de passe de l’utilisateur concerné. C’est notamment le cas lorsque le serveur smtp de Gmail est utilisé. Le mot de passe étant dans ce cas le mot de passe du compte Google de l’expéditeur utilisant le serveur smtp, il est parfois possible de récupérer le login et le mot de passe Google du propriétaire / administrateur de la caméra IP.
Cette faille permet aussi dans nombre de cas de récupérer les informations de connexion au routeur Wifi du propriétaire de la caméra, ce qui permet à un attaquant se trouvant à proximité de l’équipement visé d’utiliser ses ressources (comme par exemple de se connecter à l’internet) et de mettre un pied dans son réseau local ce qui, si ce dernier n’est pas sécurisé, permet de faire nombre de choses plus ou moins dommageables.
D’autres informations potentiellement sensibles peuvent être obtenues dès lors que l’on connaît le mode d’emploi des scripts CGI qui peuvent être appelés sur le serveur embarqué dans la caméra IP, et qui est facilement accessible.
Pour se prémunir contre ce type d’attaque, il est possible :
– De déconnecter les caméras IP concernées et de ne plus les utiliser ;
– De modifier la configuration du routeur auquel la / les caméras sont connectés pour fermer les ports ouverts permettant l’accès à l’appareil depuis l’internet ;
– De mettre à jour le micrologiciel de la caméra vers une version corrigeant cette vulnérabilité lorsque le fabricant le propose (ce qui n’est le cas que rarement).
Lire :
Manuel CGI des caméras IP de type Foscam – Guide relatif à l’utilisation des scripts CGI des caméras de type Foscam et de leurs clones (PDF).
Utiliser les failles de sécurité des caméras Foscam – Document décrivant certaines failles de sécurité affectant les caméras IP de type Foscam et leurs clones et la manière d’en tirer profit.