Siemens a publié un avis de sécurité (PDF) au sujet d'une vulnérabilité critique exploitable à distance et affectant des caméras IP utilisées dans la vidéosurveillance. Plus d'une quinzaine de modèles sont concernés. Essentiellement, des caméras dômes fixes et mobiles.

camera-dome-mobile-siemens-vanderbilt Ces caméras sont commercialisées par Vanderbilt Industries, qui a racheté la division spécialisée du groupe allemand, et qui propose un patch pour la vulnérabilité identifiée en tant que CVE-2016-9155. Pour la France, le CERT-FR a notamment relayé l'alerte.

Selon le descriptif de la vulnérabilité, un attaquant avec un accès réseau au serveur Web peut obtenir des identifiants d'administration via l'envoi de certaines requêtes HTTP. Une exploitation est a priori relativement triviale.

Pour le moment, il n'est pas évoqué une exploitation active. Néanmoins, il est légitime de nourrir quelques inquiétudes à ce sujet, d'autant que même si un correctif est disponible, encore faut-il qu'il soit appliqué. Une problématique à laquelle est confronté l'Internet des Objets.

Impossible par ailleurs de ne pas penser au cas du botnet Mirai avec des attaques par déni de service distribuée qui ont pu être menées grâce à des caméras connectées compromises. Le cas le plus retentissant a été celui de la cyberattaque à l'encontre du fournisseur de DNS Dyn et qui serait l'œuvre d'un gamer mécontent.