En septembre, Hikivision a découvert une faille de sécurité dans ses caméras et a fourni une mise à jour pour la corriger. Une enquête a montré qu’au moins 80 000 caméras n’ont pas encore été mises à jour, offrant ainsi des points d’entrée aux attaques.
Vulnérabilité d’injection de commandes dans l’interface Web
La vulnérabilité trouvée est une vulnérabilité d’injection de commandes dans l’interface Web de la caméra. Les attaquants peuvent l’utiliser pour exécuter des commandes arbitraires et ainsi accéder aux enregistrements des caméras. Au moins deux exploits de cette vulnérabilité sont accessibles au public sur Internet.
Hikivison a réagi rapidement après que la vulnérabilité a été connue et a publié une liste des modèles concernés. De plus, la société avait informé de la nature de la vulnérabilité et a finalement fourni une mise à jour du micrologiciel qui pourrait être utilisée pour la corriger.
Cependant, Cyfirma a découvert que de nombreux utilisateurs n’ont pas encore profité de l’offre de mise à jour du firmware. La société de sécurité a examiné un échantillon de 285 000 appareils accessibles via Internet. 80 000 personnes étaient encore vulnérables. Si l’échantillon est représentatif, cela signifie qu’environ 28 % des caméras Hikivision sont encore facilement vulnérables.
Les 80 000 caméras concernées sont réparties dans plus de 2 300 installations dans différents pays. La plupart des caméras sont situées en Chine, suivies par les États-Unis, le Vietnam, le Royaume-Uni, l’Ukraine, la Thaïlande, l’Afrique du Sud, la France et les Pays-Bas.
Cyfirma met en garde contre des attaques
A l’occasion de l’enquête, Cyfirma a notamment mis en garde contre les attaques de la Chine et de la Russie. Dans ce contexte, la société a également souligné que de nombreux accès aux caméras divulgués étaient en vente sur des forums russes. L’accès aux caméras, a en outre averti Cyfirma, pourrait également être utilisé pour faire respecter des objectifs géopolitiques.
Il est fortement conseillé aux responsables de mettre à jour leurs caméras avec le dernier firmware. De plus, il leur est conseillé de sous-traiter idéalement les appareils IoT tels que les caméras vers un réseau distinct ou de les isoler via un pare-feu pour éviter de compromettre le reste du réseau en cas d’attaque réussie sur l’appareil en question.
Cette affaire montre une fois de plus que les caméras de surveillance déployées dans le but d’accroître la sécurité peuvent parfois produire exactement le contraire. Outre le manque de maintenance et les failles de sécurité, les entreprises derrière les caméras présentent également un risque dans certains cas ; par exemple, on a récemment appris que les caméras d’Amazon transmettaient des données à la police sans consentement.
