TOOLinux

Le journal du Libre

De nouvelles vulnérabilités dans une caméra D-Link

mardi 7 mai 2019

Des recherches en IoT menées par ESET indiquent que la caméra D-Link cloud DCS-2132L possède de nombreuses vulnérabilités sécuritaires. Problème réglé... mais des zones d’ombre subsistent. On fait le point.

De nouvelles vulnérabilités dans une caméra D-Link

ESET a signalé toute les vulnérabilités au fabricant. Certaines de celles-ci – principalement dans le plug-in myDlink – ont depuis été atténuées et corrigées (patchées) par une mise à jour du firmware (basé sur des éléments open source), mais des problèmes avec des transmission non encryptée persistent.

Le problème le plus important avec la caméra D-Link DCS-2132L est la transmission non encryptée du flux vidéo. Elle fonctionne sans chiffrement sur deux connexions : celle entre la caméra et le cloud et celle entre le cloud et l’app de visualisation coté client, créant ainsi un terrain fertile pour des attaques d’homme du milieu qui permettent aux intrus d’espionner les flux vidéo des victimes.” -Milan Fránik, chercheur ESET.


Testez Amazon Prime 30 jours sans engagement. C’est GRATUIT. Vous êtes autoentrepreneur ou une entreprise ? Optez pour Amazon Business, 30 jours gratuits. Vous pourrez d’ailleurs bénéficier d’une remise de 50% sur votre premier achat, jusqu’à 100 euros.

Un autre problème (de taille) de cette caméra était caché dans le plug-in du navigateur de services “myDlink” . Il s’agit d’une des formes de l’appli de visualisation de l’utilisateur. Le plug-in du navigateur gère la création d’un tunnel TCP et le playback vidéo en direct dans le navigateur client, mais il est également responsable de la transmission des demandes des flux de données vidéo et audio par un tunnel qui écoute sur un port généré de manière dynamique sur un hôte local.

La vulnérabilité du plug-in aurait pu avoir des conséquences dramatiques au niveau de la sécurité de la caméra, car elle permettait aux attaquants de remplacer le firmware original avec leur propre version truquée ou détournée, explique l’éditeur.