NurseryCam, un système scolaire qui permet aux parents de surveiller leurs enfants à distance, piraté,

Les noms, les emails, les identifiants de connexion ont été exposés sur Internet

NurseryCam, un système scolaire qui permet aux parents de surveiller leurs enfants à distance, piraté,
les noms, les adresses électroniques, les identifiants de connexion ont été exposés sur Internet

NurseryCam est un système de caméras installées dans les crèches, qui permet aux parents de surveiller leurs enfants à distance. Plus tôt cette semaine, la société responsable du système a écrit aux parents pour leur signaler une violation de données sur NurseryCam. Les noms, les adresses électroniques, les identifiants de connexion ont été exposés sur Internet. La société qui fournit ses services à une quarantaine de crèches à travers le Royaume-Uni dit avoir pris connaissance de l'incident pour la première fois vendredi et a déclaré qu'elle avait fermé son serveur par mesure de précaution.

« La personne qui a identifié la faille a jusqu'ici agi de manière responsable, a déclaré la directrice de NurseryCam, le Dr Melissa Kao. Elle a déclaré qu'elle n'avait pas l'intention d'utiliser cette faille pour faire du mal, mais qu'elle voulait voir NurseryCam se mettre à jour face aux normes générales des mesures de sécurité. » L'entreprise avait déjà été impliquée dans une prise de bec publique avec un consultant en cybersécurité. Ce dernier avait prétendu avoir trouvé des failles dans ce système. Ce que l'entreprise avait minimisé.


Le consultant, Andrew Tierney, a déclaré qu'il avait également été contacté par le hacker, qui lui avait transmis une copie des données volées. Tierney a déclaré qu'il avait fait des vérifications de suivi auprès de certains des parents concernés pour s'assurer que les détails étaient réels, et qu'il avait contacté NurseryCam pour lui proposer son aide. « Je ne sais pas qui est ce type, a-t-il déclaré. Mais ce que j'ai fait, c'est envoyer à NurseryCam les failles de son système que j'ai repérées au cours des deux dernières semaines. » Il a ajouté que les ex-utilisateurs du système n’étaient pas concernés par la liste qu'il avait vue.

Le Dr Melissa Kao a déclaré qu'elle ne croyait pas que la violation était liée aux défauts que Tierney avait cherché à porter à son attention. « NurseryCam s'excuse sincèrement auprès de tous nos parents utilisateurs et des crèches pour cet incident. Nous sommes vraiment désolés », a-t-elle ajouté.

Zoom sur le système NurseryCam

Le système est doté d’un enregistreur vidéo numérique (DVR) qui est installé dans la crèche et relié à des caméras. Ce sont des DVR de type CCTV normaux, utilisés dans des milliers d'entreprises et de foyers au Royaume-Uni. Le DVR possède une interface web qui peut être consultée via un navigateur. Pour pouvoir visualiser les images des caméras, il faut être connecté directement au réseau de la crèche.


Pour permettre au DVR d’être visualisé à distance, une fonction appelée redirection de port est utilisée. Cela ouvre un port dans le pare-feu de la crèche, permettant d’accéder au DVR à partir d’Internet.


Pour se connecter au DVR, l'utilisateur doit connaître le login, le mot de passe et l'adresse IP. Lorsqu'un parent souhaite voir les caméras, il se connecte au site web NurseryCam ou à l'application mobile. En arrière-plan, le parent reçoit les détails du DVR, y compris le nom d'utilisateur et le mot de passe.


Pour tous les parents qui se connectent à une crèche donnée, ils reçoivent le même nom d'utilisateur et le même mot de passe pour le DVR. Le nom d'utilisateur est admin et le mot de passe est des mots évidents suivis de 888. Cela signifie que les parents, passés et présents, ont tous reçu le mot de passe administrateur pour le DVR. Rien n'indique que ce mot de passe change au fil du temps. Il n'est pas nécessaire que le parent se connecte au site web de NuseryCam pour accéder au DVR.


Grâce à ces informations, le parent peut se connecter directement au DVR à tout moment de la journée, le visionner aussi longtemps qu'il le souhaite et voir toutes les caméras, y compris celles sur lesquelles il ne possède pas d’autorisation. Le compte du parent sur le site web de NurseryCam peut être verrouillé ou supprimé, mais le nom d'utilisateur et le mot de passe du DVR ne changeront pas. Il n'y a aucun moyen d'empêcher le parent de se connecter directement au DVR. Toute personne se connectant au DVR sera considérée comme l'utilisateur admin. Il est difficile pour une crèche de déterminer si la connexion provient d'un véritable parent ou de quelqu'un d'autre.
Pire encore, la connexion au DVR utilise le protocole HTTP, et non le protocole HTTPS. Elle est non chiffrée, ce qui expose davantage le flux vidéo, le nom d'utilisateur et le mot de passe. Étant donné que tout parent d'une crèche donnée peut se connecter au DVR et visualiser toutes les caméras, cela induit les conséquences suivantes :

• un parent qui regarde les caméras pendant plus longtemps que prévu ;
• un parent dont l'enfant ne fréquente plus la crèche et qui regarde les caméras ;
• tout parent qui a été empêché d'accéder au système peut continuer à regarder les caméras ;
• un parent peut regarder des caméras auxquelles il n'a pas droit, comme les chambres que son enfant n'utilise pas.
  

De plus, comme le mot de passe des DVR est commun à plusieurs crèches et documenté sur le site web de NurseryCam, n'importe qui sur Internet peut accéder au DVR.


L'application mobile NurseryCam Android a été téléchargée puis examinée. En visualisant le code, il a été possible de voir comment le système fonctionne. Plusieurs parents utilisateurs du système ont confirmé que le système fonctionnait comme présenté dans cet article. Les noms d'utilisateur et les mots de passe de l'enregistreur étaient les mêmes à chaque fois qu'ils se connectaient.

Tour d’horizon des failles sur NurseryCam

[LIST=1][*]L'application n'utilise pas TLS pour sécuriser les communications entre elle et les points d'extrémité de l'API ; [*]La connexion, directement avec les pépinières, se fait alors par HTTP avec le nom d'utilisateur et le mot de passe du DVR passés dans l'URL. Il n'y a pas de chiffrement ;[*]NurseryCam n'a aucun moyen de vérifier à distance l'accès à ces DVR. Si les noms d'utilisateur et les mots de passe ont été utilisés par une partie malveillante, il n'y a aucun moyen de le savoir ;[*]L'application envoie le nom d'utilisateur et le mot de passe du parent dans l'URL au point de terminaison "http://nurserycam.metatechnology.co.uk/Service1.svc/Camera/". Le nom d'utilisateur et le mot de passe sont transmis directement dans l'URL ;[*]Tout contrôle concernant les délais ou le verrouillage des comptes ne fonctionnerait pas. Les parents possèdent des informations d'identification pour les DVR, mais les contrôles d'accès sont inefficaces. L'enfant peut même quitter la crèche et le compte des parents pourrait être révoqué sur la plateforme web, mais ils ont toujours accès au DVR ;[*]Lors de la connexion, le parent reçoit une liste de ParentAccessModel en tant que JSON. Ces données sont transmises en texte clair, non...