Imaginez que vous achetiez une caméra de surveillance connectée à Internet, un périphérique de stockage en réseau ou un gadget domotique, pour découvrir qu’il téléphone secrètement et constamment à un vaste réseau peer-to-peer (P2P) géré par le fabricant chinois du matériel. Imaginez maintenant que l’équipement de geek que vous avez acheté ne vous permette pas de bloquer cette communication P2P sans une expertise réseau sérieuse ou une chirurgie matérielle que peu d’utilisateurs tenteraient.
Le FI9286P, une caméra Foscam qui inclut la communication P2P par défaut.
C’est le scénario cauchemardesque de l' »Internet des objets » (IoT) pour tout administrateur système : les caméras IP que vous avez achetées pour sécuriser votre espace physique se transforment soudainement en un vaste réseau cloud conçu pour partager vos photos et vidéos à grande échelle. La meilleure partie? Tout est plug-and-play, aucune configuration nécessaire !
J’ai pris conscience pour la première fois de cette expérience bizarre sur la façon de ne pas faire d’IdO la semaine dernière lorsqu’un lecteur envoyé un lien vers un long fil de discussion sur le forum d’assistance pour Foscam, une entreprise chinoise qui fabrique et vend des caméras de sécurité. Le fil a été lancé par un utilisateur de Foscam qui a remarqué que sa caméra IP appelait bruyamment et sans cesse plus d’une douzaine d’hôtes en ligne dans presque autant de pays.
Il s’avère que cette caméra Focscam était l’un des nombreux modèles plus récents que la société fabrique et qui est livré avec des capacités de mise en réseau peer-to-peer intégrées. Ce fait n’est pas exactement expliqué à l’utilisateur (bien que certains des modèles répertoriés dites « P2P » dans le nom du produit, D’autres ne le font pas).
Mais le plus gros problème avec ces caméras basées sur P2P est que si l’interface utilisateur de la caméra a un paramètre pour désactiver le trafic P2P (il est activé par défaut), Foscam admet que la désactivation de l’option P2P ne fait rien en fait pour empêcher l’appareil de rechercher d’autres hôtes P2P en ligne (voir capture d’écran ci-dessous).
C’est un problème car la fonction P2P intégrée aux caméras Foscam P2P est conçue pour percer les pare-feu et ne peut pas être désactivée sans application d’une mise à jour du micrologiciel et d’un correctif supplémentaire que la société n’a publié qu’après les appels répétés des utilisateurs sur son forum de support.
Oui, ce paramètre ne fonctionne pas. Le P2P est toujours activé même après avoir décoché la case.
L’un des nombreux hôtes que les utilisateurs de Foscam ont signalé avoir vu dans leurs journaux de pare-feu était iotcplatform.comun domaine enregistré auprès d’une entreprise de communication chinoise ThroughTek Co., Ltd. Il s’avère que ce domaine est apparu dans les journaux de pare-feu pour un certain nombre d’autres bricoleurs curieux qui ont voulu regarder de plus près ce que leur stockage en réseau et leurs jouets domotiques faisaient sur leur réseau.
En janvier 2015, un rédacteur collaborateur pour le suivi des menaces Centre de tempête Internet SANS écrit dans IdO : l’essor des machines qu’il a trouvé le même domaine iotcplatform.com appelé dans le trafic réseau généré par un Maginon SmartPlug qu’il avait acheté (les prises intelligentes sont des prises de courant dans lesquelles vous branchez des lumières et d’autres appareils que vous souhaitez contrôler à distance).
Qu’est-ce que la plateforme CTOI ? Selon ThroughTek, il s’agit d’un service développé pour établir des communications P2P entre appareils.
« J’ai lu la documentation fournie avec l’appareil ainsi que toutes les pages du site Web et il n’y a aucune mention de ce service », a écrit Xavier Mertens, gestionnaire d’incidents et blogueur pour SANS. « Les fabricants doivent inclure une documentation technique sur les exigences du réseau (par exemple : pour télécharger les mises à jour du micrologiciel). »
Dans un autre cas datant de mai 2015, ce blogueur a noté un trafic de communication similaire émanant d’un enregistreur vidéo numérique (DVR) vendu en tandem avec des caméras de surveillance connectées à Internet fabriquées par une société appelée Swann.
De même, les messages à partir de déc. 2014 sur le QNAP Le forum des utilisateurs de stockage en réseau (NAS) indique que certains clients de QNAP ont découvert un trafic mystérieux vers iotcplatform.com et d’autres demandes d’adresse Internet qui ont également été trouvées dans le trafic Swann et Smart Plug.
Qu’est ce que toutes ces choses ont en commun? Une visite des listes Web de ThroughTek plusieurs « études de cas » pour ses produitsy compris Swann, QNAP et une société de domotique basée à Taïwan appelée AboCom.
ThroughTek n’a pas répondu aux demandes de commentaires. Un communiqué de presse ThroughTek d’octobre 2015 a annoncé que le réseau P2P de l’entreprise – qu’elle appelle le Réseau Kalay – avait grandi pour prendre en charge plus de sept millions d’appareils connectés et 100 millions de « connexions IoT ».
J’ai contacté Foscam pour mieux comprendre la relation de l’entreprise avec ThroughTek et pour savoir combien d’appareils Foscam sont désormais livrés avec la technologie P2P intégrée et toujours active de ThroughTek. Foscam a refusé de dire combien de modèles différents regroupaient la technologie P2P, mais c’est au moins une douzaine selon mon décompte des modèles mentionnés dans le Foscam Manuel de l’Utilisateur et Fil de discussion.
Chargé de clientèle Foscam David Qu a écrit en réponse aux demandes de commentaires que « ThroughTek nous fournit un service d’assistance technique P2P ». Il a également déclaré que les caméras P2P conservaient simplement une connexion « pulsée » au serveur P2P de Foscam pour vérifier l’état de la connexion avec les serveurs, et qu’aucune donnée de caméra ne serait stockée sur les serveurs de l’entreprise.
« Les détails sur le fonctionnement de la fonction P2P vous seront utiles pour comprendre pourquoi la caméra doit communiquer avec les serveurs P2P », a expliqué Qu. « Notre société déploie de nombreux serveurs dans certaines régions du monde global. » Qu a expliqué plus en détail :
1. Lorsque la caméra est allumée et connectée à Internet, la caméra se connecte à notre serveur P2P principal avec la réponse la plus rapide et obtient l’adresse IP de l’autre serveur à faible charge et s’y connecte. Ensuite, la caméra ne se connectera pas au serveur P2P principal.
2. Lorsque vous vous connectez à la caméra via P2P avec l’application Foscam, l’application se connecte également à notre serveur P2P principal avec la réponse la plus rapide et obtient l’adresse IP du serveur auquel la caméra se connecte.
3. L’application demandera au serveur de créer un tunnel indépendant entre l’application et la caméra. Les données et la vidéo seront transférées directement entre eux et ne transiteront pas par le serveur. Si le serveur ne parvient pas à créer le tunnel, les données et la vidéo seront transmises par le serveur et toutes seront cryptées.
4. Enfin, la caméra gardera une connexion de pulsation avec notre serveur P2P afin de vérifier l’état de la connexion avec les serveurs afin que l’application puisse visiter la caméra directement via le serveur. Ce n’est que lorsque la caméra s’éteint/s’allume ou change un autre réseau qu’elle reproduira les étapes ci-dessus.
Comme je l’ai noté dans une récente chronique IoT Reality : Smart Devices, Dumb Defaults, le problème avec tant d’appareils IoT n’est pas nécessairement qu’ils sont mal conçus, c’est que leurs paramètres par défaut ignorent souvent les problèmes de sécurité et/ou de confidentialité. Je ne comprends pas pourquoi une marque aussi connue que Foscam permettrait les communications P2P sur un produit principalement utilisé pour surveiller et sécuriser les maisons et les bureaux.
Apparemment, je ne suis pas seul dans mon désarroi. Nicolas Tisserandchercheur senior en réseaux et sécurité pour le Institut international d’informatique (ICSI), a qualifié la fonctionnalité P2P intégrée de « une idée incroyablement mauvaise » tout autour.
« Cela ouvre non seulement tous les utilisateurs de Foscam aux attaques contre leurs caméras elles-mêmes (qui peuvent être très sensibles), mais un exploit de la caméra permet également de nouvelles intrusions dans le réseau domestique », a déclaré Weaver.
« Compte tenu de l’attitude apparemment cavalière et du manque presque certain de mises à jour automatiques, il est presque certain que ces appareils sont exploitables à distance », a-t-il ajouté. « Il n’est pas étonnant que le directeur du renseignement national, James Clapper, s’inquiète de l’Internet des objets, du nombre de responsables gouvernementaux qui ont installé ou pourraient involontairement installer des espions potentiels comme celui-ci chez eux. »
Si vous êtes curieux de connaître un appareil IoT que vous avez acheté et ce qu’il pourrait faire après l’avoir connecté à un réseau, les informations sont là si vous savez comment et où chercher. Ce message Lifehacker passe en revue certains des outils logiciels de base et des étapes que même un novice peut suivre pour en savoir plus sur ce qui se passe sur un réseau local.