Les utilisateurs d’UniFi, la gamme populaire d’appareils sans fil du fabricant Ubiquiti, déclarent recevoir des flux de caméras privées et contrôler des appareils appartenant à d’autres utilisateurs, comme le montrent les publications publiées sur le site de médias sociaux Reddit au cours des dernières 24 heures.
« Récemment, ma femme a reçu une notification d’UniFi Protect, qui comprenait une image d’une caméra de sécurité », a rapporté un utilisateur de Reddit. « Cependant, voici le problème : cet appareil photo ne nous appartient pas. »
Attiser l’inquiétude et l’anxiété
Le message comprenait deux images. Le premier montrait une notification envoyée sur le téléphone de la personne indiquant que son UDM Pro, un contrôleur réseau et une passerelle réseau utilisés par les consommateurs passionnés de technologie, avait détecté quelqu’un se déplaçant dans l’arrière-cour. Un plan fixe d’une vidéo enregistrée par une caméra de surveillance connectée montrait une maison de trois étages entourée d’arbres. La deuxième image montrait le tableau de bord appartenant à l’utilisateur Reddit. L’appareil connecté de l’utilisateur était un UDM SE et la vidéo capturée montrait une maison complètement différente.
Moins d’une heure plus tard, un autre utilisateur de Reddit postant sur le même fil de discussion a répondu : « C’est donc TRÈS intéressant que vous ayez posté ceci, j’étais sur le point de publier que lorsque j’ai navigué sur unifi.ui.com ce matin, j’étais connecté à quelqu’un. complètement le compte d’un autre ! Il y avait mon email en haut à droite, mais l’UDM Pro de quelqu’un d’autre ! Je pouvais naviguer dans l’appareil, afficher et modifier les paramètres ! Terrifiant !!
Deux autres personnes ont consulté le même fil de discussion pour signaler un comportement similaire qui leur était arrivé.
D’autres fils de discussion Reddit publiés la veille et signalant que les utilisateurs d’UniFi se connectent à des appareils privés ou à des flux appartenant à d’autres sont ici et ici. Le premier rapportait que l’affiche de Reddit avait obtenu un accès complet au système de quelqu’un d’autre. Le message comprenait deux captures d’écran montrant ce que l’affiche disait être la vidéo capturée d’une entreprise non reconnue. L’autre affiche a déclaré s’être connectée à son tableau de bord Ubiquiti pour trouver les commandes du système pour quelqu’un d’autre. « J’ai fini par me déconnecter, effacer les cookies, etc., cela me semble bien maintenant… », écrit l’affiche.
Une autre personne a signalé le même problème dans un message publié jeudi sur le forum de support communautaire d’Ubiquiti, au moment même où cette histoire d’Ars était rapportée. La personne a déclaré s’être connectée à la console UniFi comme c’est sa routine quotidienne.
« Cependant, cette fois, on m’a présenté 88 consoles provenant d’un autre compte », a écrit la personne. « J’avais un accès complet à ces consoles, tout comme j’aurais la mienne. Cela n’a été arrêté que lorsque j’ai forcé une actualisation du navigateur et mes consoles m’ont été présentées à nouveau.
Ubiquity a déclaré jeudi avoir identifié le problème et corrigé les erreurs qui l’avaient provoqué.
« Plus précisément, ce problème a été causé par une mise à niveau de notre infrastructure UniFi Cloud, que nous avons résolue depuis », ont écrit les responsables. Ils poursuivirent :
1. Que s’est-il passé ?
1 216 comptes Ubiquiti (« Groupe 1 ») ont été associés de manière inappropriée à un groupe distinct de 1 177 comptes Ubiquiti (« Groupe 2 »).
2. Quand est-ce arrivé ?
13 décembre, de 6h47 à 15h45 UTC.
3. Qu’est-ce que cela signifie ?
Pendant ce temps, un petit nombre d’utilisateurs du groupe 2 ont reçu des notifications push sur leurs appareils mobiles depuis les consoles attribuées à un petit nombre d’utilisateurs du groupe 1.
De plus, pendant cette période, un utilisateur du groupe 2 qui a tenté de se connecter à son compte peut avoir obtenu un accès à distance temporaire à un compte du groupe 1.
Les rapports suscitent naturellement l’inquiétude, voire l’anxiété, des utilisateurs de produits UniFi, qui comprennent des points d’accès sans fil, des commutateurs, des routeurs, des dispositifs de contrôle, des téléphones VoIP et des produits de contrôle d’accès. En tant que portails accessibles sur Internet vers les réseaux locaux d’utilisateurs, les appareils UniFi offrent un moyen d’accéder aux caméras, micros et autres ressources sensibles à l’intérieur de la maison.
« Je suppose que je devrais arrêter de me promener nu chez moi maintenant », a plaisanté un participant à l’un des forums.
Il faut reconnaître que les employés de l’entreprise ont répondu de manière proactive aux rapports, indiquant qu’ils les prenaient au sérieux et qu’ils avaient commencé à enquêter activement dès le début. Les employés ont déclaré que le problème avait été corrigé et que les confusions de comptes ne se produisaient plus.
Il est utile de rappeler que ce type de comportement – se connecter légitimement à un compte uniquement pour trouver les données ou les contrôles appartenant à un compte complètement différent – est aussi vieux qu’Internet. Exemples récents : une erreur de T-Mobile en septembre et des problèmes similaires impliquant Chase Bank, First Virginia Banks, Credit Karma et Sprint.
Les causes profondes précises de ce type d’erreur système varient d’un incident à l’autre, mais elles impliquent souvent des périphériques « middlebox », qui se situent entre les périphériques front-end et back-end. Pour améliorer les performances, les middlebox mettent en cache certaines données, notamment les informations d’identification des utilisateurs récemment connectés. En cas de divergences, les informations d’identification d’un compte peuvent être mappées sur un autre compte.
Dans un e-mail, un responsable d’Ubiquiti a déclaré que les employés de l’entreprise collectaient toujours « des informations pour fournir une évaluation précise ».