IT-Connect » Actualités » Actu Cybersécurité » GoPro : Une vulnérabilité expose les mots de passe Wi-Fi

Actu Cybersécurité 

GoPro : Une vulnérabilité expose les mots de passe Wi-Fi

Florian BURNEL 3407 Views Aucun commentaire 1 min read

On ne présente plus GoPro, le très populaire fabricant de caméras haute-définition... Aujourd'hui, on apprend qu'une vulnérabilité a été trouvée au sein du site officiel.

logo-gopro1Cette vulnérabilité découverte par le chercheur en sécurité Ilya Chernyakov, permet de récupérer des milliers de mots de passe correspondant au code d'accès du réseau Wi-Fi de la caméra GoPro de l'utilisateur.

Le réseau Wi-Fi de la caméra GoPro permet plusieurs actions à l'utilisateur, comme le fait de contrôler la caméra à distance, par le biais d'une connexion directe entre un smartphone et la caméra.

Une faille dans le mécanisme de mise à jour de la GoPro

Le chercheur en sécurité rapporte que la faille se situe au niveau du mécanisme de mise à jour de la GoPro. En fait, lorsque l'on met à jour le firmware de la GoPro manuellement, on obtient un lien de téléchargement vers un fichier ZIP.

Ce fichier ZIP contient un fichier nommé "settings.in" qui contient les paramètres de la caméra, et notamment le nom du réseau Wi-Fi et la clé de sécurité qui le protège. Le tout en clair.

En fait, l'URL d'accès à l'archive ZIP de l'Update ressemble à ceci :

http://cbcdn2.gp-static.com/uploads/firmware-bundles/firmware_bundle/8605145/UPDATE.zip

Le numéro "8605145" correspond à un numéro de série qui identifie clairement la caméra d'un seul utilisateur. De ce fait, Ilya Chernyakov a remarqué qu'en changeant ce numéro on pouvait obtenir de nombreuses archives ZIP différentes, et donc des mots de passe.

Il a même un scripté en Python le processus pour automatiquement récupérer le numéro de série de la caméra et les informations associées au réseau Wi-Fi de chaque caméra. Il a rapporté le problème auprès de GoPro qui semble faire la sourde oreille...

Que faire de ces mots de passe ?

Étant donné que les hackers ne se trouvent pas à proximité de la GoPro pour laquelle ils ont le mot de passe, cela ne présente pas grand intérêt... Néanmoins, ils peuvent se servir de cette base de données de mots de passe pour construire un dictionnaire complet, et réutilisable lors d'attaque Brute Force.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5558.Voir tous les posts

Vous pourrez aussi aimer

Vulnérabilité dans HTTP2 - Déni de service - Avril 2024

CONTINUATION Flood : une nouvelle vulnérabilité dans HTTP/2 expose les serveurs web à des attaques DoS

Florian BURNEL 0

G-DATA découvre un nouveau rootkit nommé Uroburos

Sara Wright 0
Cyberattaque Centre hospitalier Sud Francilien

Cyberattaque : le Centre hospitalier de Corbeil-Essonnes victime d’un ransomware !

Florian BURNEL 1

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.