Pedro de Matos
Vendues en grande surface de bricolage, bon nombre de caméras sous étiquette Thomson, Opticam, Novodio, Nexxt ou Netis ont en fait une seule et même provenance, un OEM Chinois (en l’occurrence Foscam dans le cas soulevé par F-Secure). Car les modèles C2 et I5 sont presque des encyclopédies de la faille par l’exemple : identifiants codés « en dur » dans le firmware, accès admin avec mot de passe par défaut universel, fuites de créances, XSS, injection de commandes, interface Web et accès ftp fragiles (avec notamment une totale absence de limitation du nombre de « logon » erronés ), élévation de privilèges… Le roman noir de ces caméras IP vendues principalement aux USA, France, Espagne, Italie, Allemagne et Grande Bretagne se termine assez mal : averti des négligences et des défauts de conception, le vendeur aurait mis plusieurs mois avant de répondre aux chercheurs de F-Secure, et aucun correctif n’aurait été publié à ce jour
