27/12/2024

Actu Cybersécurité

GoPro : Une vulnérabilité expose les mots de passe Wi-Fi

On ne présente plus GoPro, le très populaire fabricant de caméras haute-définition... Aujourd'hui, on apprend qu'une vulnérabilité a été trouvée au sein du site officiel.

logo-gopro1Cette vulnérabilité découverte par le chercheur en sécurité Ilya Chernyakov, permet de récupérer des milliers de mots de passe correspondant au code d'accès du réseau Wi-Fi de la caméra GoPro de l'utilisateur.

Le réseau Wi-Fi de la caméra GoPro permet plusieurs actions à l'utilisateur, comme le fait de contrôler la caméra à distance, par le biais d'une connexion directe entre un smartphone et la caméra.

Une faille dans le mécanisme de mise à jour de la GoPro

Le chercheur en sécurité rapporte que la faille se situe au niveau du mécanisme de mise à jour de la GoPro. En fait, lorsque l'on met à jour le firmware de la GoPro manuellement, on obtient un lien de téléchargement vers un fichier ZIP.

Ce fichier ZIP contient un fichier nommé "settings.in" qui contient les paramètres de la caméra, et notamment le nom du réseau Wi-Fi et la clé de sécurité qui le protège. Le tout en clair.

En fait, l'URL d'accès à l'archive ZIP de l'Update ressemble à ceci :

http://cbcdn2.gp-static.com/uploads/firmware-bundles/firmware_bundle/8605145/UPDATE.zip

Le numéro "8605145" correspond à un numéro de série qui identifie clairement la caméra d'un seul utilisateur. De ce fait, Ilya Chernyakov a remarqué qu'en changeant ce numéro on pouvait obtenir de nombreuses archives ZIP différentes, et donc des mots de passe.

Il a même un scripté en Python le processus pour automatiquement récupérer le numéro de série de la caméra et les informations associées au réseau Wi-Fi de chaque caméra. Il a rapporté le problème auprès de GoPro qui semble faire la sourde oreille...

Que faire de ces mots de passe ?

Étant donné que les hackers ne se trouvent pas à proximité de la GoPro pour laquelle ils ont le mot de passe, cela ne présente pas grand intérêt... Néanmoins, ils peuvent se servir de cette base de données de mots de passe pour construire un dictionnaire complet, et réutilisable lors d'attaque Brute Force.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.