Sammy Azdoufal, un programmeur français, a partagé une faille de sécurité majeure touchant les babyphones et caméras connectés. Plus d’un million d’appareils seraient exposés sur Internet, laissant potentiellement accessibles des flux vidéo, des données personnelles et des infos sensibles.
Sammy Azdoufal, n’en n’est pas à son premier coup d’essai. Ce programmeur français, a partagé une nouvelle faille de sécurité majeure touchant cette fois-ci les babyphones et caméras connectés Meari. Plus d’un million d’appareils seraient ainsi exposés sur Internet, laissant potentiellement accessibles des flux vidéo, des données personnelles et des infos sensibles.
C’est le site Clubic qui relate l’affaire dans un papier publié lundi 9 mars. Ce chercheur a constaté cette absence de protection de la vie privée après avoir vérifié le babyphone Meari Technology que sa collègue avait acheté sur Amazon. Suite à son analyse, il a su que le problème vient du broker MQTT qui a été laissé ouvert, sans aucune sécurité. Et le comble, c’est que 378 marques utilisant ce système défaillant seraient concernées.
Aucune protection au niveau du serveur central : Broker MQTT
Sammy Azdoufal a remarqué que le système utilisé par le babyphone était totalement dépourvu de sécurité. Le serveur central – broker MQTT – qui sert d’intermédiaire entre les appareils et les smartphones des utilisateurs, était accessible depuis tout navigateur. Aucun mot de passe ni autre mécanisme de protection n’est requis pour y accéder.
Selon lui, aucune intrusion technique n’a été nécessaire pour y accéder. Cette configuration ouverte aurait perduré très longtemps. Les serveurs utilisés en Europe et aux États-Unis sont déployés depuis environ 1040 jours, et celui en Chine depuis 540 jours.
Une démonstration concrète de cette faille
« Je n’ai rien hacké ni craqué, il n’y a juste aucune protection sur les brokers », explique Sammy Azdoufal.
En se connectant à ce serveur défaillant, il a pu effectivement consulter un tableau de bord EMQX permettant de visualiser en temps réel les babyphones et caméras actifs dans le monde. Il a vu quels appareils sont connectés, depuis combien de temps… Il aurait même pu regarder les vidéos enregistrées.
Par ailleurs, il a développé un outil spécialisé, appelé « CloudEdge Babyphone PoC », pouvant repérer et cibler un appareil connecté en particulier s’il le veut.
Un constat choquant : 378 marques concernées
La vulnérabilité touchant Meari est loin d’être un cas isolé. En fait, cette entreprise chinoise approvisionne en technologie IoT (le broker MQTT défaillant en question) de nombreux autres fabricants pour équiper leurs propres produits.
Au total, 378 marques utilisent donc ce même système vulnérable. Parmi elles figurent des enseignes bien connues des Français, comme Beaba, Leroy Merlin, Protectline (marque d’Orange), Altice France ou encore AWOX.
Pire, les bases de données de Meari seraient aussi exposées
La faille ne concerne pas uniquement les babyphones et caméras connectés. Le chercheur a également découvert un Credential Vault permettant d’accéder aux bases de données de ce fabricant.
Sammy Azdoufal a même fourni des détails sur ce Credential Vault. Il aurait vu 32 accès vers différentes bases de données (Meari MySQL, Redis, ActiveMQ et MongoDB). Malgré cette découverte, le chercheur affirme ne jamais s’y être connecté.
Une telle exposition représente un risque important pour la confidentialité des utilisateurs, notamment lorsque les dispositifs concernés sont des caméras installées dans des espaces privés.
L’inaction, puis une rectification discrète de la part de ce fabricant chinois
Sammy Azdoufal a pris l’initiative de contacter l’entreprise concernée afin de signaler les vulnérabilités observées. Dans un premier temps, aucune correction immédiate n’aurait été apportée à la faille constatée. Meari restait silencieux, sans aucune réaction.
Ce n’est qu’après la médiatisation du problème que certains changements auraient été mis en place pour restreindre l’accès aux serveurs MQTT européens et américains. En effet, Seblatombe, expert en cybersécurité, a alerté Amazon, Cdiscount et Fnac, ainsi que l’agence française cyber ANSSI et la répression des fraudes DGCCRF.
Un problème de sécurité qui a tendance à se reproduire
Les failles liées au protocole MQTT ou à des infrastructures cloud mal sécurisées ont déjà été observées à plusieurs reprises dans l’univers des objets connectés. Rappelons qu’en février dernier, le même chercheur, Sammy Azdoufal, a mis en évidence un problème similaire sur les aspirateurs robots connectés DJI Romo.
En exploitant un serveur MQTT mal protégé, il était possible d’identifier, d’observer l’activité, voire de piloter à distance des milliers d’appareils dispersés dans plusieurs pays.
Pour en savoir plus : Aspirateur robot : cette faille de sécurité pas rassurante du tout
En bref, ces incidents illustrent une difficulté persistante de l’industrie de l’IoT. La sécurité est souvent reléguée au second plan lors du développement des produits. Les fabricants privilégient la rapidité de mise sur le marché et la réduction des coûts. Cependant, cette approche comporte des risques pour la protection de la vie privée des utilisateurs.
Source : Clubic
