En août dernier, une sérieuse alerte de cybersécurité a été émise car 30 caméras Canon ont été jugées sensibles aux vulnérabilités Wi-Fi et USB critiques, les laissant ainsi exposées à une infection par un ransomware - un type de malware par lequel les cyber-attaquants peuvent conserver des photos et des vidéos prises sur l'appareil à rançon.
En novembre, le nombre d'appareils photo Canon concernés a été porté à 33 - et le problème principal, une vulnérabilité dans un protocole de communication standard, rend potentiellement vulnérables les appareils photo d'autres fabricants. Pour sa part, cependant, Canon a été proactif dans le processus et a maintenant publié un micrologiciel correctif pour tous ses appareils photo concernés.
Les vulnérabilités ont été découvertes par la société de cybersécurité Check Point Software Technologies, qui a alerté Canon sur le problème affectant ses gammes d'appareils photo sans miroir, DSLR et compacts. Check Point a distingué le Canon EOS 80D, en publiant une vidéo démontrant à quel point il est facile d'exploiter les trous du protocole de transfert d'image standard (utilisé pour transférer des fichiers d'appareils photo vers des PC) pour infecter l'appareil photo et l'ordinateur.
«Tout appareil« intelligent », y compris les caméras, est sensible aux attaques», a déclaré Eyal Itkin, chercheur en sécurité chez Check Point. «Les caméras ne sont plus uniquement connectées via USB, mais aux réseaux WiFi et à leur environnement environnant. Cela les rend plus vulnérables aux menaces car les attaquants peuvent injecter un ransomware à la fois dans la caméra et dans le PC auquel il est connecté. Les pirates pourraient alors retenir les précieuses photos et vidéos des gens en otage jusqu'à ce que l'utilisateur paie une rançon pour leur libération. "
Étant donné que le protocole est standard et intégré à d'autres modèles d'autres fabricants, d'innombrables appareils photo non Canon peuvent également être affectés. «Nous nous sommes concentrés sur Canon comme cas de test, car ils détiennent la plus grande part de marché», nous a dit Eyal Itkin, chercheur chez Check Point.
"Cependant, le protocole de transfert d'image est normalisé et pris en charge par tous les appareils photo numériques, quel que soit le fournisseur. Bien que le Canon EOS 80D ait été celui testé dans cette démonstration, nous pensons que des vulnérabilités de mise en œuvre similaires pourraient également être trouvées chez d'autres fournisseurs, menant potentiellement aux mêmes résultats critiques dans n'importe quel appareil photo numérique. "
Lorsque nous avons contacté tous les principaux fabricants, seul Olympus a répondu en nous disant: "Nous étudions actuellement les effets sur nos produits. Dès que nous connaîtrons les détails, nous prendrons les mesures nécessaires pour nous assurer que nos clients peuvent utiliser nos produits en toute sécurité. "
Vous trouverez ci-dessous la liste complète des appareils photo Canon affectés par la vulnérabilité, ainsi que des liens vers des téléchargements de micrologiciels correctifs, le cas échéant. Si vous possédez ou utilisez l'un de ces modèles, nous vous conseillons vivement de mettre à jour votre firmware dès que possible.
Canon EOS-1D X (version 1.2.1 disponible)
Canon EOS-1D X Mark II (version 1.1.7 disponible)
Canon EOS-1D C (version 1.4.2 disponible)
Canon EOS 5D Mark III (version 1.3.6 disponible)
Canon EOS 5D Mark IV (version 1.2.1 disponible)
Canon EOS 5DS (version 1.1.3 disponible)
Canon EOS 5DS R (version 1.1.3 disponible)
Canon EOS 6D (version 1.1.9 disponible)
Canon EOS 6D Mark II (version 1.0.5 disponible)
Canon EOS 7D Mark II (version 1.1.3 disponible)
Canon EOS 70D (version 1.1.3 disponible)
Canon EOS 77D / 9000D (la version 1.0.3 est disponible)
Canon EOS 80D (version 1.0.3 disponible)
Canon EOS M10 (version 1.1.1 disponible)
Canon EOS M100 (version 1.0.1 disponible)
Canon EOS M2 (version 1.0.4 disponible)
Canon EOS M3 (version 1.2.1 disponible)
Canon EOS M5 (version 1.0.2 disponible)
Canon EOS M50 / Kiss M (version 1.0.3 disponible)
Canon EOS M6 (version 1.0.1 disponible)
Canon EOS M6 Mark II (version 1.0.1 disponible)
Canon EOS R (version 1.6.0 disponible)
Canon EOS RP (version 1.4.0 disponible)
Canon EOS Rebel SL2 / 200D / Kiss X9 (Version 1.0.3 disponible)
Canon EOS Rebel SL3 / 250D / Kiss X10 (Version 1.0.2 disponible)
Canon EOS Rebel T6 / 1300D / Kiss X80 (Version 1.1.1 disponible)
Canon EOS Rebel T6i / 750D / Kiss X8i (Version 1.0.1 disponible)
Canon EOS Rebel T6s / 760D / 8000D (version 1.0.1 disponible)
Canon EOS Rebel T7 / 2000D / Kiss X90 (Version 1.0.1 disponible)
Canon EOS Rebel T7i / 800D / Kiss X9i (Version 1.0.2 disponible)
Canon PowerShot G5 X Mark II (version 1.1.0 disponible)
Canon PowerShot SX70 HS (version 1.1.1 disponible)
Canon PowerShot SX740 HS (version 1.0.2 disponible)
Dans son premier avis produit, Canon tenait à souligner qu'il n'y a eu jusqu'à présent aucun cas où les vulnérabilités ont entraîné une activité malveillante. "À ce stade, il n'y a eu aucun cas confirmé d'exploitation de ces vulnérabilités pour causer des dommages, mais afin de garantir que nos clients peuvent utiliser nos produits en toute sécurité, nous souhaitons vous informer des solutions de contournement suivantes pour ce problème."
Encore une fois, nous devons souligner qu'il ne s'agit pas nécessairement d'un problème spécifique à Canon, car c'est le protocole de transfert d'image lui-même (plutôt que les appareils photo) qui présente la faille de sécurité. Les photographes doivent rester vigilants et vérifier les mises à jour de sécurité pertinentes des fabricants de leur équipement.
Les détails techniques complets de l'enquête sont disponibles sur le site Web de Check Point.
Canon EOS R piraté: Magic Lantern «chargé avec succès»
Critique du Canon EOS R
Le disque dur sécurisé par empreintes digitales Verbatim protège et crypte vos données