Un étudiant de Floride découvre que l'accès aux caméras de sonnette peut être maintenu même après un changement de mot de passe

Security Cameras Accessible After Password Change

Une étude récente a montré qu'en ce qui concerne les comptes en ligne, les utilisateurs ne souhaitent pas vraiment changer leurs mots de passe, même lorsqu'il existe des preuves que leurs données de connexion peuvent avoir été compromises. Ils ne sont clairement pas particulièrement familiers avec les dangers potentiels associés à cela, et beaucoup d'entre eux ont adopté la mentalité «cela ne m'arrivera pas».

Si des caméras de sécurité installées dans leurs maisons sont concernées, cependant, elles seront probablement beaucoup plus prudentes. L'impact potentiel sur la vie privée d'une personne est beaucoup plus évident, et les utilisateurs sont probablement plus conscients des conséquences, ce qui signifie qu'ils utiliseront tous les outils de contrôle d'accès dont ils disposent pour s'assurer que leurs caméras ne sont pas accessibles aux étrangers. Un autre document de recherche universitaire, cependant, montre que cela pourrait être beaucoup plus difficile qu'il n'y paraît.

En ce qui concerne les caméras IoT, un mot de passe modifié ne signifie pas nécessairement un accès révoqué

L'étude a été réalisée par Blake Janes, un étudiant du Florida Institute of Technology, et elle est basée sur un scénario très plausible. Imaginez un couple appelé Alice et Bob, qui vivent dans une maison équipée de caméras de sécurité et de sonnette connectées à Internet. Les deux ont accès au flux en direct des caméras et peuvent les contrôler. À un moment donné, cependant, les deux se sont séparés et Bob s'est éloigné. Alice veut s'assurer que Bob n'a plus accès aux appareils de surveillance, c'est pourquoi elle modifie les mots de passe des caméras ou utilise d'autres outils disponibles pour s'assurer que seule elle peut voir le flux. Ce que Blake Janes a découvert, c'est qu'avec de nombreuses caméras modernes, Bob pourra accéder au flux vidéo même après le changement de mot de passe.

Janes a pris 19 des caméras connectées à Internet les plus populaires de l'année dernière, et il a mené non pas une mais deux expériences. Tout d'abord, il a essayé de restreindre l'accès aux caméras en changeant les mots de passe, mais a découvert que seulement 3 des 19 appareils ont verrouillé Bob immédiatement. Certains des flux vidéo sont restés disponibles pendant plus de 30 minutes après le changement de mot de passe, et 4 des caméras ont même laissé à Bob des droits administratifs pour contrôler les appareils.

Le deuxième scénario impliquait la révocation complète du compte de Bob. 13 des 19 caméras prennent en charge plusieurs comptes, et toutes n'ont pas réussi à couper immédiatement l'accès de Bob au flux. Huit d'entre eux sont restés ouverts pendant plus de 30 minutes.

Ce n'est pas une vulnérabilité, c'est un défaut de conception

Le mécanisme d'authentification avec ces appareils est assez complexe. Lorsque Bob se connecte à son compte, il se connecte au serveur API du fabricant. De là, il reçoit un jeton qui lui permet d'accéder au flux de la caméra hébergé sur un autre serveur. Lorsque Alice change le mot de passe de la caméra ou révoque le compte de Bob, elle coupe son accès au serveur API, ce qui signifie que Bob ne peut pas obtenir de nouveau jeton. Il en a déjà un, cependant, et dans certains cas, il reste valable pendant un bon moment.

Le principal problème réside dans la longue expiration du jeton, bien que Blake Janes souligne d'autres problèmes comme un manque de notification en ce qui concerne qui accède aux appareils et des politiques de contrôle d'accès assouplies des serveurs eux-mêmes. L'expérience a montré que les caméras Nest de Google souffrent des mêmes problèmes, c'est pourquoi Janes a reçu un peu plus de 3000 $ dans le cadre du programme de primes aux bogues du géant des moteurs de recherche.

Cependant, lorsque vous lirez son article de recherche, vous aurez l'impression que ce n'est pas un bug, mais une décision de conception consciente. La longue expiration du jeton réduit la pression sur les serveurs et élimine la nécessité de saisir à tout moment les noms d'utilisateur et les mots de passe. Selon le journal, les applications ne présentent pas de notifications d'accès constant afin de réduire ce que l'on appelle la fatigue d'avertissement. En d'autres termes, tous ces défauts sont le résultat de la tentative des fournisseurs de rendre les appareils plus conviviaux.

C'est encore un autre triomphe de la convivialité sur la sécurité. Cette fois, cependant, cela concerne les appareils qui sont censés nous protéger et protéger notre vie privée, c'est pourquoi certains des fournisseurs travaillent déjà sur les problèmes mis en évidence par les recherches de Blake Janes. Nous espérons qu'ils trouveront bientôt des solutions.

Par Duran
June 9, 2020
News
Français
June 9, 2020
News

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.