Sécurité IT : portes ouvertes sur les caméras TRENDnet
Des milliers de caméras de surveillance TRENDnet sont librement accessibles sur la Toile. Elles abritent une faille critique connue depuis plus d’un an. Mais nombre d’utilisateurs n’ont toujours pas appliqué le correctif mis à leur disposition.
Des milliers de caméras de surveillance TRENDnet sont librement accessibles sur la Toile. Leur micrologiciel abrite une faille critique.
Un simple navigateur Internet suffit à exploiter cette vulnérabilité qui touche 22 modèles produits entre avril 2010 et février 2012.
Certains ont aujourd’hui disparu du catalogue. Pas la TV-IP110W, ni même la TV-IP12WN, restées des références dans la gamme TRENDnet.
Cette brèche, antithèse même de la sécurité que sont censés apporter les dispositifs de vidéo-protection, avait déjà fait parler d’elle il y a tout juste un an.
Son découvreur – connu sous le pseudo Console Cowboy – avait examiné l’en-tête du firmware et l’avait décompressé pour y découvrir une arborescence complexe, avec notamment un système de fichiers Minix contenant un répertoire /server/cgi-bin.
Celui-ci est lié directement au serveur HTTP de la caméra. Il s’y trouve un sous-dossier /anony où se loge le fichier fautif : un certain mjpg.cgi, script dont l’exécution donne accès au flux vidéo en temps réel.
Il est apparu que cet accès en mode invité (« anonymous ») n’était pas désactivable. En d’autres termes, tout détenteur d’une caméra TRENDnet qui a ouvert, sur son routeur, les ports nécessaires à l’accès à distance, est exposé aux risques sus-évoqués.
Le phénomène avait pris de l’ampleur sous l’impulsion de la communauté 4Chan, dont les membres ont joué les pirates informatiques, multipliant les captures d’écran.
On y a entrevu, pêle-mêle, des établissements scolaires, des maternités, des pressings, des bars, des aérodromes ou encore des stations de ski.
Face à cet emballement, TRENDnet avait déployé, le 6 février 2012, un correctif. Mais le problème persiste alors que de nombreux utilisateurs n’ont pas encore effectué la mise à jour.
Voici le feuilleton relancé à l’initiative d’un site espagnol qui a cartographié, sur Google Maps, toutes les caméras en libre accès (service fermé depuis lors).
S’y adjoignait le compte Twitter @TRENDnetExposed, qui n’est toutefois plus alimenté depuis le 12 janvier.
Sous le feu des projecteurs, TRENDnet décline toute responsabilité.
« Le patch diffusé en février 2012 résorbe la faille en question. Quant aux caméras vendues après cette date, elles sont immunisées« , se défend-il dans un communiqué.
Et d’ajouter : « Il est difficile de localiser les utilisateurs qui n’ont pas enregistré leurs produits. Mais en tout les cas, c’est à eux d’appliquer le correctif« .
—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?
Crédit photo : Devin_Pavel – Shutterstock.com