Des recherches en IoT menées par ESET indiquent que la caméra D-Link cloud DCS-2132L possède de nombreuses vulnérabilités sécuritaires. Problème réglé… mais des zones d’ombre subsistent. On fait le point.
ESET a signalé toute les vulnérabilités au fabricant. Certaines de celles-ci – principalement dans le plug-in myDlink – ont depuis été atténuées et corrigées (patchées) par une mise à jour du firmware (basé sur des éléments open source), mais des problèmes avec des transmission non encryptée persistent.
“Le problème le plus important avec la caméra D-Link DCS-2132L est la transmission non encryptée du flux vidéo. Elle fonctionne sans chiffrement sur deux connexions : celle entre la caméra et le cloud et celle entre le cloud et l’app de visualisation coté client, créant ainsi un terrain fertile pour des attaques d’homme du milieu qui permettent aux intrus d’espionner les flux vidéo des victimes.” -Milan Fránik, chercheur ESET.
Un autre problème (de taille) de cette caméra était caché dans le plug-in du navigateur de services “myDlink” . Il s’agit d’une des formes de l’appli de visualisation de l’utilisateur. Le plug-in du navigateur gère la création d’un tunnel TCP et le playback vidéo en direct dans le navigateur client, mais il est également responsable de la transmission des demandes des flux de données vidéo et audio par un tunnel qui écoute sur un port généré de manière dynamique sur un hôte local.
La vulnérabilité du plug-in aurait pu avoir des conséquences dramatiques au niveau de la sécurité de la caméra, car elle permettait aux attaquants de remplacer le firmware original avec leur propre version truquée ou détournée, explique l’éditeur.
