L’Internet des objets connectés (ou Internet of Things en anglais) connecte toujours plus d’appareils électroniques qui sont trop souvent dépourvus de sécurité. Afin de donner un exemple concret des risques liés à l’utilisation de ce type d’objet dans notre quotidien, nous avons mené un test d’intrusion sur une caméra connectée destinée au grand public.
Dans le cadre de l’activité de recherche et développement de Sysdream, nous avons réalisé un test d’intrusion ciblant une caméra connectée choisie selon des critères classiques de consommateurs pour une utilisation privée :
- haute définition avec vision nocturne ;
- vendue à un prix raisonnable en termes de prix (moins d’une centaine d’euros) ;
- distribuée par de nombreux commerçants d’équipements de maison.
Nous présenterons les résultats de nos recherches, démontrant plusieurs vulnérabilités (dont certaines de type « 0-day ») avec des impacts potentiellement critiques sur les utilisateurs de ce produit :
- débordement de tampon sur l’application Web ;
- invite de commandes administrateur, via le port série et altération du programme d’amorçage du système ;
- injection de commandes à distance dans le nom d’un point d’accès Wi-Fi.
L’éditeur du produit a été informé de ses vulnérabilités, mais nous a...
