C’est pourquoi les gens craignent l’IoT (internet des objets)

Pour tirer le meilleur parti de l’ IoT (Internet des objets) émergent, nous devons être plus intelligents en matière d’innovation matérielle et logicielle, a déclaré Henri samueli. À sa place je dirais que pour tirer le meilleur partie de l’ IoT, nous devons être plus intelligents en matière de sécurité de l’innovation matérielle et logiciel.

Imaginez-vous acheter une caméra de surveillance connectée à Internet, un périphérique de stockage connecté au réseau ou un gizmo de domotique, pour découvrir qu’ils appellent secrètement et constamment la maison sur un vaste réseau P2P (peer-to-peer) géré par le fabricant chinois du matériel. Maintenant, imaginez que l’équipement de geek que vous avez acheté ne vous permet pas réellement de bloquer cette communication P2P sans une sérieuse expertise en réseau ou une chirurgie matérielle que peu d’utilisateurs peuvent essayer.

C’est le scénario cauchemar de l’Internet des Objets (IoT) pour n’importe quel administrateur système: Les caméras IP que vous avez achetées pour sécuriser votre espace physique se transforment soudainement en un vaste réseau cloud conçu pour partager vos photos et vidéos. La meilleure partie? Tout est plug-and-play, juste branchez pour que ça fonctionne, pas de configuration nécessaire!

J’ai d’abord pris conscience de cette expérience bizarre à propos de l’ IoT la semaine dernière lorsqu’un lecteur a envoyé un lien vers un long fil de discussion sur le forum de support de Foscam, une entreprise chinoise qui fabrique et vend des caméras de sécurité. Le sujet a été lancé par un utilisateur de Foscam qui a remarqué que sa caméra IP appelait bruyamment et sans cesse à plus d’une douzaine d’hôtes en ligne dans presque autant de pays.

IdO%2B %2BCam%25C3%25A9ra%2BFoscam%2BFI9286P%2B%25C3%25A0%2BCommunication%2BP2P%2BPar%2BD%25C3%25A9faut.

Il s’avère que cette caméra Foscam était l’un des modèles les plus récents que la société fabrique avec des fonctionnalités de réseau pair-à-pair intégrées. Ce fait n’est pas très clair pour l’utilisateur (bien que certains des modèles listés disent “P2P” dans le nom du produit, d’autres ne le font pas).

Mais le plus gros problème avec ces caméras basées sur P2P est que tandis que l’interface utilisateur de la caméra a un paramètre pour désactiver le trafic P2P (il est activé par défaut), Foscam admet que désactiver l’option P2P ne fait rien pour arrêter la recherche d’autres hôtes P2P en ligne (voir la capture d’écran ci-dessous).

Ceci est préoccupant car la fonction P2P intégrée aux caméras P2P de Foscam est conçue pour percer les pare-feux et ne peut être désactivée sans appliquer une mise à jour du firmware et un correctif supplémentaire que la société n’a publié qu’après plusieurs interventions sur son forum de support.

IdO%2B %2BConfiguration%2BP2P%2BSur%2BCam%25C3%25A9ra%2BFosCam

Un des nombreux hôtes que les utilisateurs de Foscam ont signalé avoir vu dans leurs journaux de pare-feu était iotcplatform.com, un domaine enregistré auprès de la société de communication chinoise ThroughTek Co., Ltd. Il s’avère que ce domaine est apparu dans les journaux de pare-feu pour un certain nombre d’autres bricoleurs curieux qui se souciait de regarder de plus près ce que leur stockage en réseau et leurs jouets domotiques faisaient sur leur réseau.

En Janvier 2015, un contributeur pour le SANS Internet Storm Center de suivi des menaces a écrit dans IoT: La montée des machines qu’il a trouvé le même domaine iotcplatform.com appelé dans le trafic réseau généré par un SmartPlug Maginon qu’il avait acheté (smart  prises sont des prises de courant dans lesquelles vous branchez les lumières et d’autres appareils que vous souhaitez commander à distance).

Qu’est-ce que la plate-forme CTOI? Selon ThroughTek, c’est un service développé pour établir des communications P2P entre les appareils.

“J’ai lu la documentation fournie avec l’appareil ainsi que toutes les pages du site et il n’y a aucune mention de ce service”, écrit Xavier Mertens, gestionnaire d’incidents et blogueur pour SANS. “Les fabricants devraient inclure une documentation technique sur les exigences du réseau (ex: pour télécharger les mises à jour du micrologiciel).”

Dans un autre cas depuis mai 2015, ce blogueur a noté un trafic de communications similaire émanant d’un enregistreur vidéo numérique (DVR) vendu en tandem avec des caméras de surveillance Internet d’une société appelée Swann.

De même, les commentaires de décembre 2014 sur le forum ‘QNAP’ des utilisateurs NAS (stockage attaché au réseau) indiquent que certains clients QNAP ont découvert un trafic mystérieux vers iotcplatform.com et d’autres demandes d’adresses Internet trouvées dans le trafic Swann et Smart Plug.

Qu’est ce que toutes ces choses ont en commun? Une visite sur le site Web de ToTek énumère plusieurs «études de cas» pour ses produits, y compris Swann, QNAP et AboCom, une société de domotique basée à Taiwan.

ThroughTek n’a pas répondu aux demandes de commentaires. Un communiqué de presse ThroughTek daté d’octobre 2015 annonçait que le réseau P2P de l’entreprise, appelé Kalay Network, avait pris en charge plus de sept millions d’appareils connectés et 100 millions de «connexions IoT».

J’ai contacté Foscam pour mieux comprendre la relation de l’entreprise avec ThroughTek, et pour savoir exactement combien de dispositifs Foscam sont maintenant livrés avec la technologie P2P intégrée et permanente de ThroughTek. Foscam a refusé de dire combien de modèles différents regroupent la technologie P2P, mais il y en a au moins une douzaine selon mon compte des modèles mentionnés dans le manuel d’utilisation et le fil de discussion de Foscam.

David Qu a répondu aux demandes de commentaires que “ThroughTek fournit un service de support technique P2P pour nous.” Il a également déclaré que les caméras P2P gardent simplement une connexion “heartbeat” au serveur P2P de Foscam pour vérifier l’état de connexion avec les serveurs. et qu’aucune donnée de caméra ne sera stockée sur les serveurs de l’entreprise.

“Les détails sur le fonctionnement de la fonctionnalité P2P qui vous seront utiles pour comprendre pourquoi la caméra doit communiquer avec les serveurs P2P”, a expliqué Qu. “Notre société déploie de nombreux serveurs dans certaines régions du monde.”

  1. Lorsque l’appareil photo est allumé et connecté à Internet, l’appareil photo se connecte à notre serveur P2P principal avec la réponse la plus rapide et obtient l’adresse IP de l’autre serveur à faible charge et connectez-vous. Ensuite, l’appareil photo ne connecte pas le serveur P2P principal.
  2. Lorsque vous vous connectez au caméra via P2P avec Foscam App, l’application se connecte également à notre serveur P2P principal avec la réponse la plus rapide et obtient l’adresse IP du serveur auquel la caméra se connecte.
  3. L’application demandera au serveur de créer un tunnel indépendant entre l’application et la caméra. Les données et la vidéo seront transférées directement entre eux et ne traversent pas le serveur. Si le serveur ne parvient pas à créer le tunnel, les données et la vidéo seront transférées par le serveur et le tout sera crypté.
  4. Enfin, la caméra maintiendra une connexion heartbeat avec notre serveur P2P afin de vérifier l’état de la connexion avec les serveurs pour que l’application puisse visiter la caméra directement via le serveur. Ce n’est que lorsque l’appareil photo s’éteint / s’allume ou change un autre réseau, qu’il puisse reproduire les étapes ci-dessus.”

Comme je l’ai noté dans une récente chronique IoT Réalité: Appareils Intelligents, Defaults Stupides, le problème avec tant de périphériques IoT n’est pas nécessairement qu’ils sont mal conçus, c’est que leurs paramètres par défaut ignorent souvent la sécurité et / ou la confidentialité. Je suis déconcertée de savoir pourquoi une marque aussi connue que Foscam permettrait des communications P2P sur un produit qui est principalement utilisé pour surveiller et sécuriser les maisons et les bureaux.

Apparemment, je ne suis pas seul dans ma perplexité. Nicholas Weaver, chercheur principal en réseautage et en sécurité pour l’International Computer Science Institute (ICSI), a qualifié la fonctionnalité P2P intégrée de “toute mauvaise idée”.

“Cette fonctionnalité expose tous les utilisateurs de Foscam non seulement aux attaques sur leurs caméras elles-mêmes (qui peuvent être très sensibles), mais un exploit de la caméra permet également d’autres intrusions dans le réseau domestique”, a déclaré Weaver.

“Compte tenu de l’attitude apparemment cavalière et du manque presque certain de mises à jour automatiques, il est presque certain que ces appareils sont exploitables à distance”, a t-il ajouté. “Il n’est pas étonnant que le directeur du renseignement national, James Clapper, s’inquiète de l’IoT, du nombre de responsables gouvernementaux qui ont ou non pu installer involontairement de tels espions dans leur maison.”

Si vous êtes curieux au sujet d’un appareil IoT que vous avez acheté et de ce qu’il pourrait faire après l’avoir connecté à un réseau, l’information est là si vous savez comment et où chercher. Cet article décrit certains des outils logiciels de base et les étapes que même un novice peut suivre pour en savoir plus sur ce qui se passe sur un réseau local.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.