S’introduire dans des dizaines d’immeubles d’appartements en cinq minutes avec un téléphone portable

 (ericdaigle.ca)
1 points par GN⁺ 2025-02-25 | 1 commentaires | Partager sur WhatsApp
  • Il y a quelques mois, alors que l’auteur se rendait au SeaBus, il est passé devant un immeuble d’appartements équipé d’un panneau de contrôle d’accès intrigant.
  • Il a noté le nom de la marque, "MESH by Viscount", et a commencé à chercher des informations avec son téléphone.

Partie 0 : Exploration

  • En recherchant le nom du système sur Google, il a trouvé une page commerciale vantant des fonctionnalités TCP/IP permettant de programmer et maintenir le système à distance.
  • En cherchant "mesh by viscount" filetype:pdf, il a trouvé un guide d’installation indiquant que les identifiants par défaut devaient être modifiés, sans expliquer comment le faire.
  • Il a découvert que le titre de la page de connexion de l’interface web était "FREEDOM Administration Login".

Partie 1 : Fuite de données personnelles

  • Exposer les panneaux sur Internet est une idée absurde, mais il a pu accéder au système avec les identifiants par défaut.
  • Dans la section utilisateurs, il était possible d’associer les noms complets des résidents à leurs numéros d’unité, et l’adresse du bâtiment était utilisée comme titre du site.
  • La section événements permettait de consulter les journaux d’accès associés à des numéros d’unité précis.
  • La section utilisateurs exposait aussi les numéros de téléphone de tous les résidents.

Partie 2 : Intrusion

  • Au-delà de la fuite de données personnelles, il était possible d’accéder à la section des zones contrôlées pour enregistrer de nouveaux badges d’accès FOB ou désactiver les existants.
  • Une fonction d’override permettait de déverrouiller n’importe quelle entrée.

Partie 3 : À quel point est-ce répandu ?

  • Pour vérifier si le fait que les identifiants par défaut fonctionnent sur le premier résultat relevait de la chance, il a scanné davantage de systèmes avec ZoomEye.
  • Il a utilisé un template Nuclei pour vérifier la vulnérabilité des systèmes.
  • Il a trouvé 89 résultats au total, et 43 % des systèmes exposés sur ZoomEye au cours de l’année écoulée étaient vulnérables.
  • La majorité des systèmes exposés se trouvaient au Canada.

Chronologie

  • 2024-12-20 : découverte de la vulnérabilité
  • 2024-12-27 : prise de contact avec Hirsch, fournisseur actuel de MESH
  • 2025-01-09 : prise de contact avec le PDG d’Identiv, ancien fournisseur de MESH
  • 2025-01-11 : l’équipe de sécurité produit de Hirsch demande des détails et s’enquiert d’un éventuel plan d’information des clients
  • 2025-01-29 : Hirsch répond que les systèmes n’ayant pas changé le mot de passe par défaut sont vulnérables
  • 2025-01-30 : demande de mise à jour pour savoir si les clients exploitant des systèmes vulnérables ont été informés (aucune réponse jusqu’à la publication)
  • 2025-02-14 : attribution de CVE-2025-26793
  • 2025-02-15 : publication

À lire aussi

1 commentaires

 
GN⁺ 2025-02-25
Commentaires sur Hacker News

  • J’allais dans une résidence fermée pour rendre visite à un ami avec un livreur Amazon. Nous ne connaissions pas le code d’accès du portail, mais lui était bien livreur Amazon

    • Il a dit : « Voyons si je peux nous faire entrer », est sorti de la voiture, a regardé le panneau d’accès, a tapé quelques chiffres, et le portail s’est ouvert
    • Beaucoup de résidences fermées et de complexes d’appartements commandent des choses via Amazon et d’autres services de livraison, mais ne donnent pas de moyen d’entrer aux livreurs. Au bout du compte, un livreur frustré par le code finit par l’écrire à côté du panneau d’accès pour que tout le monde puisse l’utiliser
    • Il a dit : « Les appartements, c’est affreux », puis a ajouté : « Les campus universitaires sont la plaie de notre existence. On pourrait croire que les étudiants seraient malins sur ce genre de choses, mais ce sont les pires »

  • Si je lis bien, il s’agit ici des zones « communes » de l’immeuble, pas de la porte des appartements eux-mêmes. Il y a une énorme différence entre accéder à l’un ou à l’autre

  • Hirsch a répondu que ces systèmes vulnérables ne suivaient pas les recommandations du fabricant de changer les mots de passe par défaut

    • Les recommandations du fabricant ne sont pas acceptables. Le système devrait imposer un mot de passe de sécurité non par défaut avant sa mise en service

  • À SF, quelqu’un avait un jour découvert le code d’accès administrateur d’un ancien interphone d’immeuble (sans doute fabriqué par Linear et d’autres sociétés). Cet interphone appelait un numéro de téléphone programmé lorsqu’on entrait le code d’accès de l’appartement à la porte

    • Ils ont donc ajouté un faux locataire avec un numéro surtaxé en 1-900 et ont utilisé l’interphone pour l’appeler afin de gagner un peu d’argent. Évidemment, ce sont les propriétaires qui ont dû payer la facture

  • La sécurité de Viscount est ridiculement mauvaise. Quand je vivais à Toronto, j’habitais dans un immeuble qui contrôlait l’accès avec des badges infrarouges Viscount. Ce n’était pas plus sûr qu’une télécommande de TV ; pas de code tournant, pas de chiffrement. Un attaquant pouvait s’asseoir à proximité avec un récepteur IR, capter les codes des badges de tout le monde et accéder à tous les étages

    • Inutile de dire que j’ai déménagé

  • 2025-01-29 : Hirsch a répondu que ces systèmes vulnérables ne suivaient pas les recommandations du fabricant de changer les mots de passe par défaut

    • Ah, d’accord. Ce sont donc les enfants qui ont tort

  • Je me suis toujours demandé : comment est-ce que tout se retrouve sur Google ? Est-ce qu’il faut soumettre des liens, ou suffit-il qu’un lien public pointe vers cela ?

  • Après avoir regardé beaucoup de séries TV, mon épouse non technicienne en a conclu que les vrais systèmes sont faciles à pirater : il suffit d’utiliser « bypass password », « override password » ou « password » comme mot de passe

    • On dirait qu’elle n’est pas loin de la vérité

  • On rit en voyant, dans les films hollywoodiens, le héros dire à son ami hacker : « Fais-moi entrer dans cet immeuble. Vite. » et l’ami répondre : « Attends. C’est bon. » et clic ! la porte s’ouvre

  • Entrer dans un immeuble en 30 secondes sans téléphone :

    • Se tenir à côté de l’interphone avec un sac en papier brun (livraison de nourriture) et faire semblant d’appuyer sur les boutons. Quand quelqu’un entre ou sort, lui emboîter le pas en disant « merci ». Neuf fois sur dix, on vous tient la porte