Depuis plus d’une petite semaine, l’ensemble de la presse en ligne reprend les constatations de l’étude conduite par SEC Consult, laquelle accuse le constructeur de caméras IP d’avoir diffusé plus de 9 millions d’appareils vulnérables. Brian Krebs, le vautour Britannique sous la plume de Shaun Nichols, le HNS, ZDNet jouent les caisses de résonance.
Il faut dire que l’accusé, Xiongmai, n’en est pas à son coup d’essais. Déjà, par le passé, ses caméras vendues soit sous sa marque, soit « rebrandé » par une foultitude d’intégrateurs, avaient largement servi à la propagation du botnet Mirai. Echaudés par l’ampleur des désastres résultants, bon nombre de concepteurs d’objets de l’Internet avaient renforcé leurs politiques de sécurité, supprimé les mots de passe par défaut, les comptes admin « ouverts », les failles trop évidentes des serveurs Web embarqués, les outils de chiffrement plus symboliques qu’efficaces (lorsqu’il étaient présents) et autres grands classiques des vulnérabilités que l’on peut trouver dans les manuels « le fuzzing pour les nuls ».
Bon nombre de concepteurs… mais pas Xiongmai, qui, dévoilent les chercheurs de Sec Consult, reste accroché à ses mauvaises pratiques comme une moule à son bouchot. Des mauvaises pratiques amplifiées par d’autres habitudes, toutes aussi mauvaises voir singulièrement illégales. Toujours selon l’équipe de Sec Consult, l’industriel Chinois aurait largement pillé des blocs d’identifiants USB à Cisco, Koenig & Bauer ou Metrohm notamment. Il faut rappeler que les blocs d’identifiants USB (le couple VID/PID) sont loin d’être gratuits. Cette découverte a pu être faite en analysant les métadonnées des appareils connectés au Cloud public Xiongmai sur lequel s’enregistrent les IoT. Pis encore, aucun bloc n’est officiellement détenu par la société, alors que la majorité de ses produits à destination grand public se compte en millions de pièces et nécessite une liaison de ce type. Ajoutons à ces défauts le traditionnel compte « admin » sans mot de passe, l’absence de certificat dans les procédures de mise à jour, la possibilité de créer de faux services Cloud aux couleurs de Xiongmai…
Gardons également à l’esprit que les inconsistances des caméra connectées de cette marque sont également présentes dans tous les modèles OEM vendus sous près de 100 noms différents, de Abowone à ZRHunter, certains d’entre eux étant commercialisés en France. Un appel à la page d’erreur (www : //http/numéro_ip_camera/err.htm) affiche, le cas échéant, un message contenant l’origine du produit et un lien pointant vers Xiongmaitech.com, site officiel de l’équipementier.
Les probables 9 millions d’objets vulnérables risquent fort de le demeurer longtemps, et continueront à représenter une menace. Le marché grand public, quels que soient les efforts de sensibilisation déployés par les hérauts du mois de la sécurité, est peu enclin à déployer le moindre correctif sur des périphériques réseau.
