Une équipe de chercheurs de la société Tenable ont publié un article présentant une vulnérabilité importante dans les systèmes de sécurité NUUO. Ironiquement nommée Peekaboo, cette faille permettait d’avoir accès à l’ensemble d’une installation de vidéosurveillance. Ainsi, un intrus pouvait regarder en direct les caméras, de même que consulter ou altérer les enregistrements.
Cette faille a d’ores et déjà été corrigée par la société taïwanaise dans une mise à jour proposée dès le 19 septembre 2018. Cependant, pendant un temps long, de nombreuses personnes mal intentionnées auraient pu avoir un accès total aux caméras des clients.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Parmi les clients de NUUO, on retrouve des grandes surfaces, des écoles, des collectivités ou des bâtiments gouvernementaux, et même des banques. Comprenez qu’en plus d’être importante, cette faille est également très sensible pour la marque. On aurait très bien pu suivre pendant des jours les allées et venues d’employés pour s’introduire dans un édifice, ou pour espionner une société. « Un attaquant peut ainsi obtenir un accès total au système et prendre le contrôle sur les flux vidéo et les enregistrements. De plus, il peut intercepter en clair les identifiants nécessaires pour se connecter aux caméras, » a précisé Tenable sur son site.
Pour exploiter Peekaboo, il suffisait à un hacker de créer un excès de mémoire tampon dans les applications web d’administration de NUUO. Une pratique simplissime à effectuer depuis chez soi sans trop de difficultés.
La société, leader mondial dans la vidéosurveillance, possède plus de 100 000 installations dans le monde. De plus, elle vend ses services en marque en blanche, ce qui étend encore plus sa présence. Fort heureusement la mise à jour a été diffusée, mais pas forcée. Il est probable que de nombreuses installations continuent d’évoluer avec cette faille.