Les experts F-Secure ont découvert plusieurs failles dans le système de présentation sans fil ClickShare de Barco. En exploitant ces failles, des hackers peuvent intercepter et manipuler des informations durant une présentation, voler les mots de passe et d’autres informations confidentielles, et installer des portes dérobées ou d’autres logiciels malveillants.
Outil de collaboration, le système de présentation sans fil ClickShare de Barco permet de transférer des informations sur un écran partagé depuis n’importe quel appareil. Il détient une part de marché de 29 % selon un rapport de Futuresource Consulting (« Global wireless presentation solutions 2019 »). Le partage de contenus s’effectue grâce à un bouton, le ClickShare Button, ou via une application dédiée.
« Ces appareils sont si intuitifs et pratiques que personne ne s’en méfie, mais cette simplicité apparente est trompeuse. Derrière, se cachent des rouages internes extrêmement élaborés, ce qui complique le processus de sécurisation », explique dans un blog Dmitry Janushkevich, consultant senior spécialisé en sécurité hardware chez F-Secure Consulting. « Les objets de tous les jours auxquels les utilisateurs font aveuglément confiance constituent donc les meilleures cibles pour les pirates informatiques. Ces systèmes de présentation rencontrent un franc succès en entreprise. Il nous a donc semblé bon de nous y intéresser ».
Attaque à distance ou accès physique
Au cours de l’enquête, ils experts ont découvert de multiples failles exploitables, dont 10 CVE (Common Vulnerabilities and Exposures). Les failles décelées facilitent divers types d’opérations malveillantes : interception d’informations partagées, installation de portes dérobées ou d’autres logiciels malveillants sur les ordinateurs des utilisateurs ou encore vol d’informations et de mots de passe.
Pour être exploitées, certaines failles nécessitent un accès physique au dispositif. D’autres rendent possibles des attaques à distance si l’appareil utilise les paramètres par défaut. En outre, Dmitry Janushkevic dit que l’exécution des exploits peut être fait rapidement par un hacker qualifié ayant un accès physique au bureau (par exemple en se faisant passer pour un agent d’entretien ou un employé), lui permettant de s’introduire discrètement dans l’appareil.
« L’objectif premier de nos tests était d’installer une porte dérobée afin de compromettre ces appareils et de voler le contenu des présentations. L’ouverture du périmètre a été difficile mais, une fois l’accès obtenu, nous avons décelé de multiples problèmes de sécurité. », explique Dmitry Janushkevich.
Début octobre, F-Secure Consulting a communiqué ses résultats à Barco qui a publié une version firmware sur son site pour atténuer les failles les plus critiques. Cependant, plusieurs de ces problèmes concernent des composants matériels, et il est peu probable qu’ils aient reçu une correction, avance F-Secure.