Des failles de sécurité majeures touchent les caméras Dahua Hero C1, en ce qu'elles permettent aux hackers une prise de contrôle totale des dispositifs de surveillance. Bitdefender, qui les a révélées, fait précisément état de deux vulnérabilités critiques, exploitables sans authentification.
Une fois de plus, la cybersécurité des objets connectés comme les caméras de surveillance ne tient qu'à un fil. Les experts de Bitdefender ont découvert non pas une, mais deux vulnérabilités critiques qui permettent aux pirates de prendre le contrôle complet des caméras connectées Dahua Hero C1. Ces failles, particulièrement vicieuses, s'exploitent sans aucune authentification préalable, ce qui les rend d'autant plus dangereuses.
Deux failles techniques aux conséquences redoutables sur les caméras Dahua
Dahua Technology, un géant chinois de la vidéosurveillance, se retrouve sous les projecteurs pour de mauvaises raisons. La série Hero C1, modèle DH-H4C en tête, présente des failles béantes dans son logiciel interne. Ces caméras intelligentes, prisées des particuliers comme des entreprises, cachent un talon d'Achille plutôt préoccupant.
Les chercheurs ont identifié pas moins de dix séries affectées, dont les gammes IPC-1XXX, IPC-2XXX, IPC-WX, ainsi que diverses déclinaisons SD. Tous les appareils équipés de firmware antérieur au 16 avril 2025 souffrent de vulnérabilités critiques.
La première vulnérabilité, cataloguée CVE-2025-31700, exploite une faiblesse du gestionnaire ONVIF sur le port 80. Cette faille permet un dépassement de tampon assez pervers via l'en-tête Host des requêtes HTTP. L'attaquant peut ainsi injecter du code malveillant directement dans la mémoire de l'appareil.
La seconde brèche, référencée CVE-2025-31701, cible le gestionnaire de téléversement RPC non documenté. L'en-tête Cseq devient l'arme de choix pour corrompre la mémoire du segment .bss. Ici, la technique permet de rediriger l'exécution vers des fonctions système, ce qui ouvre la porte à une prise de contrôle totale.
Des failles corrigées plutôt rapidement
Ces deux exploits contournent les vérifications d'intégrité du firmware. Les cybercriminels peuvent ainsi diffuser des charges non signées, ou implanter des démons persistants. Une fois installés, ces programmes malveillants résistent aux tentatives de nettoyage, ce qui nécessite parfois une réinitialisation complète de l'appareil.
Heureusement, la collaboration entre Bitdefender et Dahua s'est révélée être un succès d'efficacité. Les failles, qui ont été signalées en mars 2025 au fabricant chinois depuis un canal sécurisé, ont bénéficié d'une correction rapide. Les correctifs ont justement été déployés avant la divulgation publique, on parle d'ailleurs de « divulgation responsable » dans le monde de la cybersécurité.
Des recommandations de sécurité cruciales pour se protéger
Le plus gros risque concerne les appareils accessibles depuis Internet avec la redirection de port ou UPnP, une solution qui connecte l'IoT au réseau local. Ces configurations, malheureusement courantes, transforment une vulnérabilité locale en faille exploitable partout dans le monde. Le danger est grand, puisqu'une exploitation réussie garantit un accès root complet sans interaction utilisateur.
Du coup, la première ligne de défense consiste à isoler complètement ces caméras d'Internet. Désactiver UPnP et supprimer toutes les règles de redirection de port devient prioritaire. L'isolation sur un VLAN ou réseau IoT dédié limite aussi grandement les risques de propagation latérale en cas d'intrusion.
La mise à jour reste fondamentale, et à ce propos, comme nous le disions au départ : tous les firmwares postérieurs au 16 avril 2025 corrigent ces vulnérabilités. Une surveillance active des annonces du fabricant permet évidemment d'appliquer rapidement les correctifs futurs. Voilà une nouvelle alerte qui nous rappelle que les équipements de sécurité sont aussi des portes d'entrée de luxe pour les cybercriminels.
