Caméra, babyphone : une faille permet aux pirates d’espionner des millions d’utilisateurs

Une faille de sécurité critique menace des millions d'objets connectés à travers le monde. D'après nos confrères de Wired, cette vulnérabilité permet d'accéder à des flux vidéo et audio en direct, voire de prendre le contrôle total d'un appareil à distance. Problème, cette faille est présente dans un kit de développement logiciel utilisé par plus de 80 millions d'objets connectés.

Nos objets connectés sont régulièrement la cible de menaces diverses. Les histoires ne manquent pas à ce sujet, à l'instar de ces sextoys truffés de failles de sécurité, ou encore ces sonnettes connectées bon marché particulièrement faciles à pirater. Seulement et comme l'expliquent nos confrères du site Wired, la menace actuelle n'est pas à prendre à la légère.

D'après les chercheurs en sécurité informatique de Mandiant, une vulnérabilité se cache dans plus de 80 millions d'objets connectés à travers le monde. Elle concerne des caméras, des enregistreurs numériques, des sonnettes, voire même des babyphones. Comme ils l'expliquent, cette faille se trouve dans un kit de développement logiciel baptisé ThroughTek Kalay.

Une faille qui menace des millions d'objets connectés

Ce kit, utilisé par des millions d'objets connectés, fournit un système prêt à l'emploi pour connecter les appareils intelligents à leurs applications mobiles correspondantes. En d'autres termes, la plateforme Kalay sert de passerelle entre un appareil et son application Android ou iOS. Elle gère notamment l'authentification et envoie des commandes et des données dans les deux sens.

D'après Jake Valleta, directeur des recherches chez Mandiant, cette faille permet à “un pirate de se connecter à un appareil à volonté, récupérer des données audio et vidéo et utiliser l'API à distance pour déclencher une mise à jour du micrologiciel, modifier l'angle de la caméra ou redémarrer l'appareil. Et l'utilisateur ne sait pas que quelque chose ne va pas”.

Après avoir mené l'enquête, les experts de Mandiant ont déterminé que la faille se niche dans le mécanisme d'enregistrement entre les appareils et leurs applications mobiles. Cette connexion élémentaire repose sur l'UID, un identifiant unique fourni par Kalay. De fait, un attaquant qui serait parvenu à obtenir l'UID d'un appareil, soit par des méthodes d'ingénierie sociale ou via une fuite de données appartenant à un fabricant, serait en mesure de réenregistrer l'IUD et de détourner la connexion lors de la prochaine tentative d'accès légitime à l'appareil cible.

À lire également : Plus de 100 millions d’objets connectés sont menacés par des failles de sécurité critiques !

Un correctif a été déployé, mais…

Du point de vue de l'utilisateur, il ne remarquerait qu'un léger ralentissement de quelques secondes, avant de déclencher normalement son appareil. L'attaquant, en revanche, pourrait récupérer des identifiants spéciaux, comme un nom d'utilisateur et un mot de passe unique et aléatoire déterminé par chaque fabricant. Ces deux données en main, libre à lui ensuite de contrôler l'appareil à distance via la plateforme Kalay.

Pour l'heure, les chercheurs de Mandiant affirment qu'il n'y a aucune preuve d'exploitation de cette faille. De son côté, ThroughTek Kalay a publié un correctif. Néanmoins, il revient aux nombreux fabricants de déployer à leur tour ce patch sur leurs appareils respectifs. Ce qui peut prendre un long moment.

Source : Wired