23/11/2024
IT-Connect » Actualités » Actu Cybersécurité » GoPro : Une vulnérabilité expose les mots de passe Wi-Fi

Actu Cybersécurité

GoPro : Une vulnérabilité expose les mots de passe Wi-Fi

Florian BURNEL 0 commentaire

On ne présente plus GoPro, le très populaire fabricant de caméras haute-définition... Aujourd'hui, on apprend qu'une vulnérabilité a été trouvée au sein du site officiel.

logo-gopro1Cette vulnérabilité découverte par le chercheur en sécurité Ilya Chernyakov, permet de récupérer des milliers de mots de passe correspondant au code d'accès du réseau Wi-Fi de la caméra GoPro de l'utilisateur.

Le réseau Wi-Fi de la caméra GoPro permet plusieurs actions à l'utilisateur, comme le fait de contrôler la caméra à distance, par le biais d'une connexion directe entre un smartphone et la caméra.

Une faille dans le mécanisme de mise à jour de la GoPro

Le chercheur en sécurité rapporte que la faille se situe au niveau du mécanisme de mise à jour de la GoPro. En fait, lorsque l'on met à jour le firmware de la GoPro manuellement, on obtient un lien de téléchargement vers un fichier ZIP.

Ce fichier ZIP contient un fichier nommé "settings.in" qui contient les paramètres de la caméra, et notamment le nom du réseau Wi-Fi et la clé de sécurité qui le protège. Le tout en clair.

En fait, l'URL d'accès à l'archive ZIP de l'Update ressemble à ceci :

http://cbcdn2.gp-static.com/uploads/firmware-bundles/firmware_bundle/8605145/UPDATE.zip

Le numéro "8605145" correspond à un numéro de série qui identifie clairement la caméra d'un seul utilisateur. De ce fait, Ilya Chernyakov a remarqué qu'en changeant ce numéro on pouvait obtenir de nombreuses archives ZIP différentes, et donc des mots de passe.

Il a même un scripté en Python le processus pour automatiquement récupérer le numéro de série de la caméra et les informations associées au réseau Wi-Fi de chaque caméra. Il a rapporté le problème auprès de GoPro qui semble faire la sourde oreille...

Que faire de ces mots de passe ?

Étant donné que les hackers ne se trouvent pas à proximité de la GoPro pour laquelle ils ont le mot de passe, cela ne présente pas grand intérêt... Néanmoins, ils peuvent se servir de cette base de données de mots de passe pour construire un dictionnaire complet, et réutilisable lors d'attaque Brute Force.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Le ransomware Babuk exploite les failles Exchange ProxyShell pour se propager

Florian BURNEL 0

Apache 2.4.49 : deux failles de sécurité, dont une zero-day !

Florian BURNEL 0
Code JavaScript malveillant vol identifiants banque 2023

Ce code JavaScript malveillant a permis de voler les identifiants bancaires de 50 000 utilisateurs !

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.