- Batterie ordinateur
- ACER ADVENT ALCATEL AMAZON APPLE ASUS AUTEL BAOFENG BBK BENQ BFDX BLACKBERRY BLACKVIEW BLU BOSE BQ CANON CASIO CAT CHUWI CITIZEN CLEVO CMCC COMPAQ COOLPAD CUBOT DELL DJI DOOGEE DOOV DYNABOOK ECOVACS ELEPHONE ETON FANUC FUJIFILM FUJITSU GARMIN GATEWAY GE GETAC GETONG GIGABYTE GIONEE GOOGLE GOPRO HAIER HASEE HBC HILTI HISENSE HOMTOM HONEYWELL HONGJIE HONOR HP HP_COMPAQ HTC HUAWEI HYTERA IBM ICOM INFINIX INFOCUS ITEL JBL JJRC JUMPER JVC K-TOUCH KENWOOD KIRISUN KODAK KONKA KOOBEE KYOCERA LEAGOO LEICA LENOVO LG LOGITECH MAXELL MEDION MEITU MEIZU MICROMAX MICROSOFT MINDRAY MITSUBISHI MJXRIC MOTOROLA MSI NEC NETGEAR NEWLAND NIKON NOKIA OLYMPUS ONEPLUS OPPO OTHER OUKITEL PACKARD_BELL PANASONIC PARROT PAX PENTAX PHILIPS PRESTIGIO QIKU RAZER REALME RTDPART SAMSUNG SANYO SEIKO SHARK SHARP SIEMENS SONY SUNMI SYMA SYMBOL TADIRAN TCL TECNO TOPCON TOSHIBA TP-LINK TRIMBLE TWINHEAD ULEFONE UMI UMIDIGI UNIWILL UROVO VARTA VERTEX VERTU VIVO WEILI WIKO XIAOMI XINNUAN YAESU YUHUIDA ZEBRA ZTE
TOP DES VENTES
Capacité - Tension
ARTICLES RÉCENTS DU BLOG
>
Tous les articles >
Caméra, babyphone : une faille permet aux pirates d’espionner des millions d’utilisateursCaméra, babyphone : une faille permet aux pirates d’espionner des millions d’utilisateurs
Une faille de sécurité critique menace des millions d'objets connectés à travers le monde. D'après nos confrères de Wired, cette vulnérabilité permet d'accéder à des flux vidéo et audio en direct, voire de prendre le contrôle total d'un appareil à distance. Problème, cette faille est présente dans un kit de développement logiciel utilisé par plus de 80 millions d'objets connectés.
Nos objets connectés sont régulièrement la cible de menaces diverses. Les histoires ne manquent pas à ce sujet, à l'instar de ces sextoys truffés de failles de sécurité, ou encore ces sonnettes connectées bon marché particulièrement faciles à pirater. Seulement et comme l'expliquent nos confrères du site Wired, la menace actuelle n'est pas à prendre à la légère.
D'après les chercheurs en sécurité informatique de Mandiant, une vulnérabilité se cache dans plus de 80 millions d'objets connectés à travers le monde. Elle concerne des caméras, des enregistreurs numériques, des sonnettes, voire même des babyphones. Comme ils l'expliquent, cette faille se trouve dans un kit de développement logiciel baptisé ThroughTek Kalay.
UNE FAILLE QUI MENACE DES MILLIONS D'OBJETS CONNECTÉS
Ce kit, utilisé par des millions d'objets connectés, fournit un système prêt à l'emploi pour connecter les appareils intelligents à leurs applications mobiles correspondantes. En d'autres termes, la plateforme Kalay sert de passerelle entre un appareil et son application Android ou iOS. Elle gère notamment l'authentification et envoie des commandes et des données dans les deux sens.
D'après Jake Valleta, directeur des recherches chez Mandiant, cette faille permet à “un pirate de se connecter à un appareil à volonté, récupérer des données audio et vidéo et utiliser l'API à distance pour déclencher une mise à jour du micrologiciel, modifier l'angle de la caméra ou redémarrer l'appareil. Et l'utilisateur ne sait pas que quelque chose ne va pas”.
Après avoir mené l'enquête, les experts de Mandiant ont déterminé que la faille se niche dans le mécanisme d'enregistrement entre les appareils et leurs applications mobiles. Cette connexion élémentaire repose sur l'UID, un identifiant unique fourni par Kalay. De fait, un attaquant qui serait parvenu à obtenir l'UID d'un appareil, soit par des méthodes d'ingénierie sociale ou via une fuite de données appartenant à un fabricant, serait en mesure de réenregistrer l'IUD et de détourner la connexion lors de la prochaine tentative d'accès légitime à l'appareil cible.
À lire également : Plus de 100 millions d’objets connectés sont menacés par des failles de sécurité critiques !
UN CORRECTIF A ÉTÉ DÉPLOYÉ, MAIS…
Du point de vue de l'utilisateur, il ne remarquerait qu'un léger ralentissement de quelques secondes, avant de déclencher normalement son appareil. L'attaquant, en revanche, pourrait récupérer des identifiants spéciaux, comme un nom d'utilisateur et un mot de passe unique et aléatoire déterminé par chaque fabricant. Ces deux données en main, libre à lui ensuite de contrôler l'appareil à distance via la plateforme Kalay.
Pour l'heure, les chercheurs de Mandiant affirment qu'il n'y a aucune preuve d'exploitation de cette faille. De son côté, ThroughTek Kalay a publié un correctif. Néanmoins, il revient aux nombreux fabricants de déployer à leur tour ce patch sur leurs appareils respectifs. Ce qui peut prendre un long moment.