Discussion :

[Immobilis]

Salut à tous,

Ce petit post juste pour insister sur le fait qu'il faut sécuriser son réseau: http://www.wired.com/threatlevel/201...meras-exposed/. Ca ne date pas d'hier mais bon. J'en ai entendu parler sur France Infos il y a quelques jours.

Les caméras sur IP sont très répandues, mais les personnes qui les utilisent ne pensent apparemment pas que si ils arrivent à visualiser les images sur leur smartphone, d'autres peuvent aussi le faire. Les caméras TrendNet sont citées, mais la logique est la même pour tous ces types d'appareils, non?

Les images des caméras sont accessibles via l'adresse IP du client et selon toujours le même segment d'URL: http://<IP>:<PORT>/anony/mjpg.cgi. Il suffit de faire une petite routine qui parcours les IP et le tour est joué.
On se saurait trop conseiller à tous les propriétaires de ce type d'appareils de mettre un mot de passe pour y accéder.

A bon entendeur.

Immo

[sevyc64]

Le sujet parle des caméras TrendNet parce que celles-ci possèdent une faille qui, même sur une caméra correctement configurée et sécurisée, permet de contourner la sécurité.

La faille a été corrigée depuis plusieurs mois, mais bon nombre des caméras touchées n'ont jamais été patchées.

[Invité]

Les caméras TrendNet sont citées, mais la logique est la même pour tous ces types d'appareils, non?

Bon, c'est pas non plus un scoop, le hack a été rendu public il y a presque 1 an... Et force est d'avouer que c'est vraiment Trendnet qui a merdé sur ce coup là, il n'y a pas d'autres termes. C'est une faille de chez faille qui bypasse le login user/passwd en changeant l'URL

En prenant un peu de hauteur, ça illustre le défi du M2M, le fameux "Internet des machines". Un noeud IP exposé sur Internet devient inévitablement vulnérable... Et on ne le répétera jamais assez, toujours changer les "default settings", à savoir :
- les user/passwd,
- les ports TCP à forwarder,
- le verrouillage par access-lists quand c'est possible.

Steph

[sevyc64]

Bon, c'est pas non plus un scoop, le hack a été rendu public il y a presque 1 an...

Vu la quantité de caméra encore non patchées, force est de constater que ça doit bien être encore un scoop pour pas mal d'utilisateur de ces caméras.

En prenant un peu de hauteur, ça illustre le défi du M2M, le fameux "Internet des machines". Un noeud IP exposé sur Internet devient inévitablement vulnérable... Et on ne le répétera jamais assez, toujours changer les "default settings", à savoir :
- les user/passwd,
- les ports TCP à forwarder,
- le verrouillage par access-lists quand c'est possible.

Personnellement je rajouterais que ça ne se limite pas à internet. Toute machine reliée à un réseau quel qu'il soit, y compris privé, étanche, non relié à internet, etc, est vulnérable. Il faut en avoir conscience.

Prenons le cas d'une caméra (puisque c'est le sujet), intégrée dans un réseau local wifi (ou possédant au moins un PA), réseau non relié à internet.
Aucun risque ? Non, au contraire, tout aussi risqué.
Il suffit qu'un voisin vienne se connecter à ce réseau wifi, il peut potentiellement avoir accès à toutes les machines y compris la caméra. Pour peu qu'il ait, lui, une connexion internet, il peut servir de passerelle. Donc ce réseau, au départ non relié à Internet, et donc largement moins sécurisé (l'humain étant ce qu'il est) peut se retrouver quand même totalement exposé.

Prenons le cas d'un autre réseau, d'entreprise par exemple, parfaitement sécurisé en amont, etc. Il suffit qu'une machine à l'intérieur du réseau se retrouve compromise (coup classique des fausses alertes virus dans les navigateurs par exemple) pour qu'elle-seule expose la totalité du réseau en contournant toutes les barrières mises en place en amont.

[Immobilis]

Quand on sait que par défaut les boitiers des FAI ne sont pas en mode "routeur", on peut se demander où est le problème. Le matériel est directement exposé à l'extérieur, est-ce un défaut de sécurisation de la part du consommateur ou bien est-ce que le fournisseur n'est pas un peu en faute?

Solution: que du filaire chez soi?

A+

[MiaowZedong]

Personnellement je rajouterais que ça ne se limite pas à internet. Toute machine reliée à un réseau quel qu'il soit, y compris privé, étanche, non relié à internet, etc, est vulnérable. Il faut en avoir conscience.

Prenons le cas d'une caméra (puisque c'est le sujet), intégrée dans un réseau local wifi (ou possédant au moins un PA), réseau non relié à internet.
Aucun risque ? Non, au contraire, tout aussi risqué.
Il suffit qu'un voisin vienne se connecter à ce réseau wifi, il peut potentiellement avoir accès à toutes les machines y compris la caméra. Pour peu qu'il ait, lui, une connexion internet, il peut servir de passerelle. Donc ce réseau, au départ non relié à Internet, et donc largement moins sécurisé (l'humain étant ce qu'il est) peut se retrouver quand même totalement exposé.

Sauf erreur de ma part, si le réseau en question est entièrement filaire, il devient quasiment inacessible. "Quasiment" car il existe techniquement des moyens d'espioner à distance (certains) réseaux filaires et que l'intrusion physique est également possible; mais dans ces deux cas on sort des risques de "hacks" auxquels un particulier est exposé.

Il ne faut pas utiliser le Wi-Fi sauf si l'on en a rééllement besoin, s'il est possible de tirer un fil alors il faut le faire plutot que d'utiliser du sans-fil par paresse. Ce n'est pas seulement une question de sécurité informatique, d'ailleurs; il me semble que cela consomme moins d'éléctricité et permet d'éviter de se poser des questions sur les ondes (oui, un réseau wi-fi normal n'est pas dangereux, maintenant quand on truffe sa maison de 15,000 emetteurs j'ai un doute). Bref, c'est une question de bon sens...

Quant aux "boxs" des FAI, en moins en France le mot de passe est requis par défaut. C'est complétement cocasse aux US ou même en Angleterre, où ce n'est pas le cas...

[sevyc64]

Sauf erreur de ma part, si le réseau en question est entièrement filaire, il devient quasiment inacessible. "Quasiment" car il existe techniquement des moyens d'espioner à distance (certains) réseaux filaires et que l'intrusion physique est également possible; mais dans ces deux cas on sort des risques de "hacks" auxquels un particulier est exposé.

Il ne faut pas utiliser le Wi-Fi sauf si l'on en a rééllement besoin, s'il est possible de tirer un fil alors il faut le faire plutot que d'utiliser du sans-fil par paresse. Ce n'est pas seulement une question de sécurité informatique, d'ailleurs; il me semble que cela consomme moins d'éléctricité et permet d'éviter de se poser des questions sur les ondes (oui, un réseau wi-fi normal n'est pas dangereux, maintenant quand on truffe sa maison de 15,000 emetteurs j'ai un doute). Bref, c'est une question de bon sens...

Quant aux "boxs" des FAI, en moins en France le mot de passe est requis par défaut. C'est complétement cocasse aux US ou même en Angleterre, où ce n'est pas le cas...

Oui, à supposer que ton réseau soit totalement filaire, que tu as banni toute source wifi, y compris celles activées par défaut et pas toujours signalées, mais aussi tout accessoire bluetooth, que ton réseau est totalement isolé d'internet, on peut considéré qu'il est sécurisé.
Mais, bien que restant filaire, attention à ne pas lui rajouter de modules CPL dont les signaux, contrairement à ce que dit la légende urbaine, traversent très bien les compteurs

[Immobilis]

Comme quoi http://www.lemonde.fr/technologies/a...46_651865.html

Oui, à supposer que ton réseau soit totalement filaire, que tu as banni toute source wifi, y compris celles activées par défaut et pas toujours signalées, mais aussi tout accessoire bluetooth, que ton réseau est totalement isolé d'internet, on peut considéré qu'il est sécurisé.

Moins drôle: http://bigbrowser.blog.lemonde.fr/20...-un-pacemaker/