X
Peekaboo vous espionne
Tenable / lundi 5 novembre 2018 / Thèmes: Partenaires, Tenable

Peekaboo vous espionne

Tenable Research a découvert une faille logicielle majeure, baptisée Peekaboo, qui permet aux cybercriminels de contrôler certaines caméras de vidéosurveillance, leur permettant de surveiller secrètement, de manipuler et même de désactiver les flux. Voici un aperçu de ce que Tenable a découvert.

Qu'est-ce que Peekaboo?

Peekaboo est une vulnérabilité de sécurité dans un logiciel créé par NUUO, un fournisseur mondial de vidéosurveillance. Le logiciel est utilisé dans des appareils tels que les caméras de télévision en circuit fermé (CCTV) et les enregistreurs vidéo et les dispositifs de stockage en réseau. Lorsque les cyberattaquants exploitent la faille, ils peuvent manipuler les caméras et les déconnecter - sans jamais être détectés.

Qui est affecté par Peekaboo?

Des entreprises & organisations du monde entier utilisent le logiciel NUUO dans leurs systèmes de vidéosurveillance pour protéger les centres commerciaux, les banques, les hôpitaux, les écoles et autres lieux surpeuplés. NUUO est également fournisseur OEM ou en marque blanche à plus de 100 marques et 2500 modèles de caméras. En fait, les estimations préliminaires montrent que Peekaboo pourrait affecter des centaines de milliers de caméras basées sur le Web dans le monde entier.

Comment fonctionne Peekaboo ?

Peekaboo peut donner aux cybercriminels le contrôle des caméras de vidéosurveillance à l'aide du logiciel NUUO, leur permettant de surveiller, d'altérer et même de désactiver le flux en secret. Pire encore, une fois qu’ils ont piraté l’appareil photo, ils peuvent accéder aux flux de caméra de tout autre appareil auquel ils sont connectés.

En exploitant la vulnérabilité Peekaboo, les cyberattaques peuvent voler des informations spécifiques sur toutes les caméras en réseau, y compris des données clés telles que les identifiants de connexion, la marque et le modèle, l’adresse IP et le port. Tout cela peut se produire en quelques secondes, sans que les administrateurs en aient connaissance.

Voici à quoi ressemble le hack… (vidéo en anglais)

Quel est l'impact potentiel de Peekaboo ?

Les appareils dotés du logiciel NUUO sont utilisés dans divers environnements, tels que les banques, les points de vente et les centres de transport. En exploitant cette faiblesse, les attaquants pourraient surveiller les flux de vidéosurveillance afin de recueillir subrepticement des informations, désactiver des caméras ou manipuler des séquences de sécurité. Par exemple, ils pourraient remplacer le flux en direct par une image statique de la zone surveillée, permettant aux criminels d’entrer dans les locaux qui seraient alors non détectés par les caméras.

Que dois-je faire à propos de Peekaboo ?

Il n'y a pas de correctif disponible pour le moment. Tenable conseille aux utilisateurs concernés de limiter et de contrôler l'accès réseau aux périphériques vulnérables uniquement aux utilisateurs autorisés et légitimes.

Comment Peekaboo a-t-il été découvert ?

Jacob Baines, ingénieur de recherche senior chez Tenable, a découvert la vulnérabilité Peekaboo dans NUUO NVRMini2. Il a ensuite commencé le processus de divulgation avec NUUO.

Ce n’est pas la première fois que NUUO NVR est dans l’actualité. L'année dernière, les appareils NVR NUUO ont été spécifiquement ciblés par le botnet Reaper IoT.

4005

x
Rechercher dans les dossiers

Actuellement à la Une...
L’opérateur a sans surprise fait le choix de l’équipementier finlandais pour son réseau 5G. Ce dernier travaille en effet avec Iliad depuis 2012, un partenariat renouvelé en 2018 alors que l’entreprise de Xavier Niel se lançait en Italie, sélectionnant à nouveau Nokia à cette occasion.

La jeune pousse franco-américaine continue d’attirer les grands comptes. Dernier en date, rien de moins que l’OTAN, pour qui Dataiku va plancher sur de nouveaux cas d’usage des datasciences et de l’IA.

L’éditeur de solutions de tests et de revue de code enrichit son logiciel d’analyse statique du code des applications pour des analyses tout au long du cycle de vie de l’application.

L’éditeur de solutions de sécurité pour les équipements mobiles a dévoilé les arcanes d’un phishing mobile standard s’attaquant à différentes banques américaines et canadiennes découvert par son logiciel Phising AI.

Une toute jeune plateforme, dont le lancement est limitée à l’Île-de-France, fait parler d’elle ces derniers jours. Tadata propose aux lycéens, étudiants et alternants d’être rémunérés en échange de leurs données. Mais le fonctionnement nébuleux du service préoccupe l’Internet Society France, qui a saisi la Cnil.

La solution de gestion de Kubernetes de Nutanix s’enrichit de plusieurs fonctionnalités pour simplifier davantage la gestion et le déploiement de l’orchestrateur open source.

Des rumeurs circulaient depuis un mois sur ce rachat qui a enfin été officialisé par un communiqué de presse. Les deux acteurs du secteur du réseau d’entreprise vont unir leurs forces pour apporter des solutions de monitoring étendues.

Le réseau social devait lancer sa fonctionnalité Dating, inspirée des sites de rencontre, le 13 février. Mais l’entreprise a notifié l’autorité irlandaise de protection des données trop tard, et sans fournir les documents appropriés. D’où une inspection de la DPC dans les bureaux de Facebook, qui a finalement décidé de retarder le lancement de Dating.

La peur du coronavirus aura finalement eu raison du grand barnum du smartphone. Hier soir, la GSMA, société organisatrice du Mobile World Congress (MWC), a annoncé l’annulation de l’évènement qui devait se dérouler à Barcelone dans une dizaine de jours. Rendez-vous en 2021 !

L’entreprise fondée par Andy Rubin n’a jamais fait d’étincelles, malgré des smartphones prometteurs et de nombreux projets. Elle annonce désormais sa liquidation, laissant sur GitHub le nécessaire pour que son terminal PH-1 puisse lui survivre.

Toutes les News
LIVRES BLANCS

OneTrust est une plateforme logicielle innovante de gestion de la confidentialité, de la sécurité des données personnelles et des risques fournisseurs. Plus de 4 000 entreprises ont choisi de faire confiance à cette solution pour se conformer au RGPD, au CCPA, aux normes ISO 27001 et à différentes législations internationales de confidentialité et de sécurité des données personnelles.

OneTrust vous propose de télécharger le texte officiel du Règlement Général sur la Protection des Données (RGPD). Vous aurez également la possibilité de recevoir la version imprimée de ce texte, sous forme de guide pratique au format A5, spiralé, en complétant le formulaire.


Le présent guide d'achat vous aidera à améliorer l'efficacité de votre cloud hybride, en mettant l'accent sur les stratégies de gestion des données dédiées aux applications correspondantes.


Les entreprises et les organismes publics se focalisent aujourd’hui sur la transformation numérique. En conséquence, les DevOps et l’agilité sont au premier plan des discussions autour des stratégies informatiques. Pour offrir ces deux avantages, les entreprises travaillent de plus en plus avec les fournisseurs de services de cloud public et développent désormais des clouds sur site à partir d’une infrastructure qui répond à trois exigences de base:
1. Agilité sans friction des ressources physiques
2. Systèmes de contrôle optimisant l'utilisation des ressources physiques et offrant un retour sur investissement maximal
3. Intégration des divers composants de l'infrastructure pour un provisionnement et une gestion des ressources automatisés.


Pour fonctionner, votre entreprise doit pouvoir compter sur une solution de sauvegarde efficace, essentielle dans un monde marqué par une croissance exponentielle des données. Vous devez à la fois accélérer vos sauvegardes et pouvoir y accéder plus rapidement pour satisfaire les exigences actuelles de continuité d’activité, disponibilité, protection des données et conformité réglementaire. Dans cette ère de croissance effrénée, les cibles sur bande hors site et autres approches traditionnelles sont simplement dépassées.


L’Intelligence Artificielle promet de révolutionner la perception de la cybersécurité au coeur des entreprises, mais pas uniquement. Ce changement de paradigme engage, en effet, une redéfinition complète des règles du jeu pour les DSI et les RSSI, ainsi que l’ensemble des acteurs de la sécurité.


Tous les Livres Blancs
0123movie