Pour gérer vos consentements :
Categories: Mobilité

Sécurité IT : portes ouvertes sur les caméras TRENDnet

Des milliers de caméras de surveillance TRENDnet sont librement accessibles sur la Toile. Leur micrologiciel abrite une faille critique.

Un simple navigateur Internet suffit à exploiter cette vulnérabilité qui touche 22 modèles produits entre avril 2010 et février 2012.

Certains ont aujourd’hui disparu du catalogue. Pas la TV-IP110W, ni même la TV-IP12WN, restées des références dans la gamme TRENDnet.

Cette brèche, antithèse même de la sécurité que sont censés apporter les dispositifs de vidéo-protection, avait déjà fait parler d’elle il y a tout juste un an.

Son découvreur – connu sous le pseudo Console Cowboy – avait examiné l’en-tête du firmware et l’avait décompressé pour y découvrir une arborescence complexe, avec notamment un système de fichiers Minix contenant un répertoire /server/cgi-bin.

Celui-ci est lié directement au serveur HTTP de la caméra. Il s’y trouve un sous-dossier /anony où se loge le fichier fautif : un certain mjpg.cgi, script dont l’exécution donne accès au flux vidéo en temps réel.

Il est apparu que cet accès en mode invité (« anonymous ») n’était pas désactivable. En d’autres termes, tout détenteur d’une caméra TRENDnet qui a ouvert, sur son routeur, les ports nécessaires à l’accès à distance, est exposé aux risques sus-évoqués.

Le phénomène avait pris de l’ampleur sous l’impulsion de la communauté 4Chan, dont les membres ont joué les pirates informatiques, multipliant les captures d’écran.

On y a entrevu, pêle-mêle, des établissements scolaires, des maternités, des pressings, des bars, des aérodromes ou encore des stations de ski.

Face à cet emballement, TRENDnet avait déployé, le 6 février 2012, un correctif. Mais le problème persiste alors que de nombreux utilisateurs n’ont pas encore effectué la mise à jour.

Voici le feuilleton relancé à l’initiative d’un site espagnol qui a cartographié, sur Google Maps, toutes les caméras en libre accès (service fermé depuis lors).

S’y adjoignait le compte Twitter @TRENDnetExposed, qui n’est toutefois plus alimenté depuis le 12 janvier.

Sous le feu des projecteurs, TRENDnet décline toute responsabilité.

« Le patch diffusé en février 2012 résorbe la faille en question. Quant aux caméras vendues après cette date, elles sont immunisées« , se défend-il dans un communiqué.

Et d’ajouter : « Il est difficile de localiser les utilisateurs qui n’ont pas enregistré leurs produits. Mais en tout les cas, c’est à eux d’appliquer le correctif« .

—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?

Crédit photo : Devin_Pavel – Shutterstock.com

Recent Posts

Avec Phi-3-mini, Microsoft va-t-il convertir les PME à la GenAI ?

Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…

2 jours ago

IA et RGPD : sont-ils compatibles ?

Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…

3 semaines ago

Windows 10 : quel coût pour le support étendu ?

Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…

4 semaines ago

Cybersécurité : la plan de Docaposte pour convaincre les PME

Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…

1 mois ago

Surface Pro 10 : plus autonome et un peu plus réparable

La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…

1 mois ago

Office 2024 : ce qu’on sait de la prochaine version

Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…

1 mois ago