jeudi 6 août 2020
Promotion Meilleur VPN 2020
Accueil Alertes GoPro : Une vulnérabilité expose les mots de passe Wi-Fi

GoPro : Une vulnérabilité expose les mots de passe Wi-Fi

Cette vulnérabilité découverte par le chercheur en sécurité Ilya Chernyakov, permet de récupérer des milliers de mots de passe correspondant au code d’accès du réseau Wi-Fi de la caméra GoPro de l’utilisateur.

EDIT 04/03/2015 : Après une intervention de l’US-CERT, il semblerait que GoPro ait corrigé la faille de sécurité.

Le réseau Wi-Fi de la caméra GoPro permet plusieurs actions à l’utilisateur, comme le fait de contrôler la caméra à distance, par le biais d’une connexion directe entre un smartphone et la caméra. Une faille potentielle peut donc faire des dégâts…

Le mécanisme de mise à jour de la GoPro vulnérable

Le chercheur en sécurité rapporte sur son blog que la faille se situe au niveau du mécanisme de mise à jour de la GoPro (instructions ici) : lorsque l’on met à jour le firmware de la GoPro manuellement, on obtient un lien de téléchargement vers un fichier ZIP “settings.in“, qui contient les paramètres de la caméra, et notamment le nom du réseau Wi-Fi et la clé de sécurité qui le protège. Mais voila, tout est en clair, sans aucun chiffrement !

Pour aller plus loin, voici à quoi ressemble une URL type de mise à jour :

http://cbcdn2.gp-static.com/uploads/firmware-bundles/firmware_bundle/8605145/UPDATE.zip

Le numéro “8605145” présent en paramètre dans l’URL ci-dessus correspond en fait au numéro de série identifiant la caméra de l’utilisateur. De ce fait, Ilya Chernyakov a remarqué qu’en changeant ce numéro on pouvait obtenir de nombreuses archives ZIP différentes, et donc des mots de passe liés.

Il est même allé jusqu’à pousser le vice au maximum, en développant un PoC automatisé en Python, capable de récupérer le numéro de série et les informations associées au réseau Wi-Fi de chaque caméra en service dans le monde !

GoPro reste sans réaction

Voila le point le plus grave dans cette affaire, Gopro semble faire la sourde oreille jusqu’à maintenant. Ce qui n’est pas très sérieux avouons-le !

On peut certes partir du principe que ces mots de passe WiFi ainsi récupérés ne sont pas directement exploitables par des pirates puisqu’il faut être à porté des réseaux pour s’y connecter. Néanmoins, cette gigantesque base de données de mots de passe pourrait être utilisée pour la création d’un dictionnaire exploitable dans des attaques par brute force ou encore, pour mettre en ligne une sorte de carte du monde des réseaux WiFi privés avec les accès pour s’y connecter… Bref, comme d’habitude dans ce domaine, seule l’imagination des pirates limite les possibilités potentielles !

Espérons un correctif dans les plus brefs délais de la part de GoPro. Quoi qu’il en soit, pensez à changer votre mot de passe WiFi si vous utilisez une caméra GoPro.

 

Sources : The Hacker News, IT Connectsecure or not?

UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

1 COMMENTAIRE

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

36% des Millenials se moquent de la sécurité en ligne

La sécurité en ligne s’impose comme le facteur le plus important pour les Millenials lorsqu’on parle d’usages numériques à la maison. Pourtant, si cette...

Le VPN sans logs d’HMA adoubé par VerSprite, société indépendante de conseil en cyber-risque

La politique de non-collecte et de non-conservation des données d’HMA a reçu la meilleure note possible, suite à l’évaluation des facteurs relatifs à la vie privée indépendante.

Nom d’entreprise : comment réussir à trouver le meilleur ?

L’un des plus grands casse-têtes des nouveaux entrepreneurs est de choisir un nom qui accroche et vend en même temps leurs produits ou services. Élément de l’identité individuelle de l’entreprise, il reflète l’originalité et la philosophie de celle-ci. Vous vous demandez comment bien choisir un nom pour votre entreprise ? Voici quelques conseils.

Comment se protéger sur un casino en ligne

En Septembre 2018, un jeune de 17 ans a réussi à pirater un casino et à détourner 250 000 euros en un mois. Voici comment éviter au maximum ce désagrément.