Des millions de moniteurs pour bébés et des caméras de sécurité faciles à pirater.

Nous avons vraiment besoin d’arrêter d’acheter des caméras de sécurité bon marché.

Vous vous souvenez peut-être qu’il y a quelques semaines dans cet article, la mère de Caroline du Sud, Jamie Summitt, qui avait découvert ce qu’elle croyait être un pirate informatique qui l’espionnait, elle et son bébé, en utilisant son babyphone sans fil FREDI à 34 $.

Dans un nouveau rapport, la société de sécurité de l’information SEC Consult détaille une vulnérabilité que le snoop pourrait avoir exploitée. Si SEC Consult a raison, de nombreux autres moniteurs de bébé, caméras de sécurité et webcams fabriqués par le même pourraient être vulnérables aux piratages.

Pour vous protéger, vous devez toujours changer le mot de passe de l’un de ces appareils, dès qu’il est sorti de la boîte. S’il n’y a pas de mot de passe ou si vous ne pouvez pas changer le mot de passe, jetez-le et achetez quelque chose de mieux.

Le babyphone FREDI de Summitt, comme de nombreux produits de surveillance grand public peu coûteux, utilise un système de contrôle à distance basé sur le cloud (connu sous le nom de « fonctionnalité de nuage P2P ») pour transmettre des données entre un appareil et son utilisateur.

Les autres marques incluent HiKam, Sricam, HKVStar et Digoo, selon une étude présentée en novembre par Security Research Labs en Allemagne.

SEC Consult indique que le fabricant actuel est une compagnie appelée Shenzen Gwelltimes Technology Co. Ltd. et que toutes les caméras demandent aux acheteurs d’utiliser l’application smartphone Yoosee (pour Android et iOS) pour accéder aux flux de caméra. Security Research Labs a été en mesure de recueillir des preuves de près d’un million de dispositifs vulnérables en ligne, probablement seulement une fraction du nombre réel.

Essentiellement, toutes les données collectées par l’une de ces caméras sont stockées sur le serveur cloud du fabricant et transitent de la caméra au serveur, puis redescendent vers le smartphone de l’utilisateur. Cela signifie qu’un escroc n’a pas besoin d’être branché sur votre réseau privé pour vous espionner. Si quelqu’un peut intercepter votre connexion, n’importe où dans le monde, il peut accéder à toutes les données de votre caméra.

Comment l’attaquant intercepte-t-il votre connexion ?

La plupart des modèles en question ont des numéros d’identification spécifiques à l’appareil, mais partagent un mot de passe par défaut commun qui n’est pas du tout sécurisé. L’idée est que les propriétaires puissent connecter leur appareil à l’application sur leur téléphone en entrant leur identifiant et mot de passe.

Vous pouvez probablement voir où cela se passe : Si les personnages suspects ont le mot de passe de l’appareil partagé, ils peuvent essayer différentes combinaisons d’ID d’appareil jusqu’à ce qu’ils aient connecté l’appareil photo d’un étranger inconnu à leur téléphone.

Mais ce n’est pas tout. Les appareils Gwelltimes ont également des ID séquentiels, donc une fois qu’un pirate trouve le numéro d’identification d’un appareil sur Internet, il est beaucoup plus facile de trouver l’ID de l’appareil suivant.

Alors que faire ?

Si vous possédez un appareil comme celui-ci et si vous utilisez l’application YooSee, alors vous devriez toujours changer son mot de passe par défaut pour quelque chose de plus robuste. Cela dit, cela peut ne pas toujours suffire : Summitt a déclaré à ABC News qu’elle avait changé le mot de passe de son moniteur lorsqu’elle l’avait reçu pour la première fois et que certains dispositifs avaient des protections faibles qui permettaient aux pirates de contourner les mots de passe.

Cet article peut également vous intéresser :
Les appareils domestiques intelligents sont faciles à pirater. Voici comment vous protéger.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage