Shodan : le moteur de recherche espion qui détourne votre webcam
Attention à vos webcams, il se pourrait bien que vous ne soyez pas seul à les utiliser. C'est en substance ce que la presse anglo-saxone spécialisée délivre comme message depuis que le moteur de recherche Shodan a lancé tout récemment une nouvelle section, faite pour donner accès à ses utilisateurs à des webcams "vulnérables" situées un peu partout dans le monde. Slate, qui s'est étonné du phénomène, a mené sa petite enquête. Résultat : les journalistes ont facilement trouvé des images prises en direct depuis des caméras "en Allemagne, en Bulgarie, aux États-Unis, au Brésil ou encore aux Pays-Bas".
Comment est-ce possible ? Le site Ars Technica donne cette explication : les webcams sont vulnérables "parce qu'elles utilisent le Real-Time Transport Protocol pour partager des vidéos et n'ont aucun mot de passe pour vous authentifier". Et d'ajouter : "Shodan indexe Internet au hasard, en cherchant des adresses IP avec des ports ouverts. S'il en trouve qui ne demandent pas d'authentification et qui diffusent un flux vidéo, le nouveau script la saisit".
Comment marche Shodan ?
Ce site existe depuis plusieurs années, mais il a désormais atteint une capacité de nuisance considérable s'il est utilisé à mauvais escient. Slate a par exemple reperé cette expérimentation faite par les journalistes de Vocativ, qui sont parvenus à se connecter à des caméras de vidéo-surveillance. Pire, ils ont même réussi à prendre le contrôle de certaines d'entre-elles. Notre rédaction est également parvenue à se connecter à une webcam, manifestement située dans un domicile, à prendre le contrôle de ses mouvements, un logiciel intégré permettant de prendre des captures d'écran en temps réel.
A partir de la home-page du site, il est aisé de se connecter à des dizaines de caméras et de parcourir le flux d'images. L'intégralité de ces flux est accessible moyennant un abonnement de 49 euros pas mois. Mais la version gratuite est déjà très effrayante : en quelques clics, n'importe qui peut se connecter à un appareil privé. La plupart des webcams auxquelles on accède demandent un mot de passe. Sauf qu'une grande partie d'entre elles ont des mots de passe par défaut ; Shodan a sur son site quelques articles écrits par des utilisateurs pour expliquer comment les trouver facilement. Et pire, certains appareils n'ont tout simplement pas de mot de passe.
