« La personne qui a identifié la faille a jusqu'ici agi de manière responsable, a déclaré la directrice de NurseryCam, le Dr Melissa Kao. Elle a déclaré qu'elle n'avait pas l'intention d'utiliser cette faille pour faire du mal, mais qu'elle voulait voir NurseryCam se mettre à jour face aux normes générales des mesures de sécurité. » L'entreprise avait déjà été impliquée dans une prise de bec publique avec un consultant en cybersécurité. Ce dernier avait prétendu avoir trouvé des failles dans ce système. Ce que l'entreprise avait minimisé.
Le consultant, Andrew Tierney, a déclaré qu'il avait également été contacté par le hacker, qui lui avait transmis une copie des données volées. Tierney a déclaré qu'il avait fait des vérifications de suivi auprès de certains des parents concernés pour s'assurer que les détails étaient réels, et qu'il avait contacté NurseryCam pour lui proposer son aide. « Je ne sais pas qui est ce type, a-t-il déclaré. Mais ce que j'ai fait, c'est envoyer à NurseryCam les failles de son système que j'ai repérées au cours des deux dernières semaines. » Il a ajouté que les ex-utilisateurs du système n’étaient pas concernés par la liste qu'il avait vue.
Le Dr Melissa Kao a déclaré qu'elle ne croyait pas que la violation était liée aux défauts que Tierney avait cherché à porter à son attention. « NurseryCam s'excuse sincèrement auprès de tous nos parents utilisateurs et des crèches pour cet incident. Nous sommes vraiment désolés », a-t-elle ajouté.
Zoom sur le système NurseryCam
Le système est doté d’un enregistreur vidéo numérique (DVR) qui est installé dans la crèche et relié à des caméras. Ce sont des DVR de type CCTV normaux, utilisés dans des milliers d'entreprises et de foyers au Royaume-Uni. Le DVR possède une interface web qui peut être consultée via un navigateur. Pour pouvoir visualiser les images des caméras, il faut être connecté directement au réseau de la crèche.
Sans redirection de port, le DVR n'est pas accessible
Pour permettre au DVR d’être visualisé à distance, une fonction appelée redirection de port est utilisée. Cela ouvre un port dans le pare-feu de la crèche, permettant d’accéder au DVR à partir d’Internet.
Pour se connecter au DVR, l'utilisateur doit connaître le login, le mot de passe et l'adresse IP. Lorsqu'un parent souhaite voir les caméras, il se connecte au site web NurseryCam ou à l'application mobile. En arrière-plan, le parent reçoit les détails du DVR, y compris le nom d'utilisateur et le mot de passe.
Procédure normale de connexion pour un parent
Pour tous les parents qui se connectent à une crèche donnée, ils reçoivent le même nom d'utilisateur et le même mot de passe pour le DVR. Le nom d'utilisateur est admin et le mot de passe est des mots évidents suivis de 888. Cela signifie que les parents, passés et présents, ont tous reçu le mot de passe administrateur pour le DVR. Rien n'indique que ce mot de passe change au fil du temps. Il n'est pas nécessaire que le parent se connecte au site web de NuseryCam pour accéder au DVR.
Grâce à ces informations, le parent peut se connecter directement au DVR à tout moment de la journée, le visionner aussi longtemps qu'il le souhaite et voir toutes les caméras, y compris celles sur lesquelles il ne possède pas d’autorisation. Le compte du parent sur le site web de NurseryCam peut être verrouillé ou supprimé, mais le nom d'utilisateur et le mot de passe du DVR ne changeront pas. Il n'y a aucun moyen d'empêcher le parent de se connecter directement au DVR. Toute personne se connectant au DVR sera considérée comme l'utilisateur admin. Il est difficile pour une crèche de déterminer si la connexion provient d'un véritable parent ou de quelqu'un d'autre.
Pire encore, la connexion au DVR utilise le protocole HTTP, et non le protocole HTTPS. Elle est non chiffrée, ce qui expose davantage le flux vidéo, le nom d'utilisateur et le mot de passe. Étant donné que tout parent d'une crèche donnée peut se connecter au DVR et visualiser toutes les caméras, cela induit les conséquences suivantes :
- un parent qui regarde les caméras pendant plus longtemps que prévu ;
- un parent dont l'enfant ne fréquente plus la crèche et qui regarde les caméras ;
- tout parent qui a été empêché d'accéder au système peut continuer à regarder les caméras ;
- un parent peut regarder des caméras auxquelles il n'a pas droit, comme les chambres que son enfant n'utilise pas.
De plus, comme le mot de passe des DVR est commun à plusieurs crèches et documenté sur le site web de NurseryCam, n'importe qui sur Internet peut accéder au DVR.
L'application mobile NurseryCam Android a été téléchargée puis examinée. En visualisant le code, il a été possible de voir comment le système fonctionne. Plusieurs parents utilisateurs du système ont confirmé que le système fonctionnait comme présenté dans cet article. Les noms d'utilisateur et les mots de passe de l'enregistreur étaient les mêmes à chaque fois qu'ils se connectaient.
Tour d’horizon des failles sur NurseryCam
- L'application n'utilise pas TLS pour sécuriser les communications entre elle et les points d'extrémité de l'API ;
- La connexion, directement avec les pépinières, se fait alors par HTTP avec le nom d'utilisateur et le mot de passe du DVR passés dans l'URL. Il n'y a pas de chiffrement ;
- NurseryCam n'a aucun moyen de vérifier à distance l'accès à ces DVR. Si les noms d'utilisateur et les mots de passe ont été utilisés par une partie malveillante, il n'y a aucun moyen de le savoir ;
- L'application envoie le nom d'utilisateur et le mot de passe du parent dans l'URL au point de terminaison "http://nurserycam.metatechnology.co.uk/Service1.svc/Camera/". Le nom d'utilisateur et le mot de passe sont transmis directement dans l'URL ;
- Tout contrôle concernant les délais ou le verrouillage des comptes ne fonctionnerait pas. Les parents possèdent des informations d'identification pour les DVR, mais les contrôles d'accès sont inefficaces. L'enfant peut même quitter la crèche et le compte des parents pourrait être révoqué sur la plateforme web, mais ils ont toujours accès au DVR ;
- Lors de la connexion, le parent reçoit une liste de ParentAccessModel en tant que JSON. Ces données sont transmises en texte clair, non chiffrées. ParrentAccessModel est une liste d'adresses IP, de ports, de noms d'utilisateur et de mots de passe de pépinière permettant de se connecter directement aux DVR. Il ne s'agit pas d'informations d'identification par parent. L'utilisateur est admin. Les mots de passe sont des mots évidents suivis de 888. Ils sont accessibles à tout parent utilisant le système.
Andrew Tierney dit avoir signalé ces failles à NurseryCam depuis le 6 février 2021. Le 12 février 2021, il aurait blogué sur ces préoccupations. Selon le consultant en cybersécurité, l’un des parents lui aurait confirmé qu'il avait informé NurseryCam des failles presque identiques six ans plus tôt, en février 2015. Pour lui, on ne peut corriger rapidement un système aussi mal conçu. On ne peut non plus regagner la confiance perdue en vendant un produit décrit de façon aussi inexacte.
Pour terminer, le spécialiste en cybersécurité fournit les recommandations suivantes :
- débranchez la connexion réseau de l'enregistreur ;
- contactez NurseryCam et demandez qu'elle informe immédiatement toutes les crèches impactées ;
- demandez des explications sur le fait que le système commercialisé n'est pas exactement celui décrit sur le site de NurseryCam.
Source : Andrew Tierney
Et vous ?
Avez-vous une expérience avec un système similaire ?
Quel est votre avis sur le système NurseryCam ?
Voir aussi
Cybersécurité : plus de 3 milliards de mots de passe Gmail et Hotmail divulgués en ligne et aussi des identifiants de connexion à des sites comme Netflix, LinkedIn, et bien d'autres
Cybersécurité : la NSA fait des recommandations sur l'adoption du DNS chiffré par les entreprises, afin d'éviter d'entraver les contrôles de sécurité du DNS traditionnel
Les investissements dans la cybersécurité augmenteront de 10 % en 2021 dans le meilleur des cas, et de plus de 6 % dans le pire, d'après les prévisions de Canalys
Les incidents de sécurité touchent plus de la moitié des entreprises qui stockent des données dans le cloud, d'après un nouveau rapport de Netwrix