Caméra de surveillance connectée : Sécurité ou insécurité ?

Texte écrit par
26 février 2016
Mobilité Protection des données Cybercriminalité Mot de passe Protection de la vie privée Sécurité

Caméra de surveillance connectée : Sécurité ou insécurité ?

camera de surveillanceVous vous rappelez de cette webcam, à propos de laquelle nous avons écrit récemment, qui permettait à des hackers de garder un œil sur vous pendant que vous étiez en train justement de les surveiller ?

La caméra de surveillance était accessible en streaming via HTTP, la rendant ainsi en accès libre pour tous les curieux.

D’ailleurs, nous l’avions souligné récemment, de manière plutôt satirique lors du podcast ci-dessous :

[La caméra de surveillance à double sens ! […] Alors que vous êtes en train de surveiller de potentiels escrocs, ces derniers peuvent à leur tour garder un œil sur vous, simplement parce que tout est ouvert. Quelle idée fantastique pour une caméra de surveillance !

Et ce n’est pas tout, devinez quoi ?

Encore une idée formidable pour un système de sécurité… un mot de passe racine, codé en dur, pour l’interface web.

CSO a récemment rapporté ce désastre informatique, découvert durant des recherches faites par l’entreprise Risk Based Security (RBS), et qui visaient l’étude de firmwares d’une large gamme de caméras de surveillance.

[vc_row][vc_column width=”1/1″][vc_message color=”alert-info”]

Un enregistreur (), permet des connections allant d’une à plusieurs caméras vidéos, enregistrant ainsi les entrées séparément pour des raisons de sécurité, et vous autorisant à orienter la caméra de surveillance, et à utiliser le zoom à distance.

[/vc_message][/vc_column][/vc_row]

Les produits concernés sont gérés, comme tant d’autres objets connectés, via une interface web.

Si vous avez installé un enregistreur et sa caméra de surveillance dans un endroit distant, comme un entrepôt dans une banlieue reculée, ou bien au plafond dans un bâtiment quelconque, vous avez certainement connecté cet équipement à votre réseau domestique, en le reliant tout simplement à internet.

Dans ce cas, vous courrez le risque que n’importe qui puisse se connecter à votre équipement, et essaie de deviner votre mot de passe !

En d’autres mots, nous espérons que vous avez choisi un mot de passe plutôt efficace.

Cependant, le choix que vous ferez n’a pas vraiment d’importance ici, car le fournisseur a pris le soin de programmé l’équipement, avec un mot de passe racine, que vous ne pouvez pas changer, et qui de plus est visible au niveau du firmware !

Ainsi, un potentiel voleur pourra juste se connecter et changer votre mot de passe de toutes les façons !

La décence nous interdit de divulguer le mot de passe, codé en dur, mais sachez qu’il ne comporte que 6 caractères.

[vc_row][vc_column width=”1/1″][vc_message color=”alert-info”]

Pour être plus clair ici, la longueur et la complexité ne sont absolument pas suffisantes pour des mots de passes codés en dur. En effet, à partir du moment où quelqu’un le découvre, alors tout le monde le connait, et vous pouvez alors le copier/coller, et peu importe qu’il soit long et complexe.

[/vc_message][/vc_column][/vc_row]

Apparemment le fournisseur, dans le cas présent, vendait ses produits pour être utilisés sous plusieurs marques différentes. Nous ne pouvons donc pas vous fournir une liste fiable des équipements qui pourraient être affectés.

Cependant, les experts de RBS en utilisant Shodan (un site web spécialisé dans la recherche d’objets connectés à Internet), dans le but de rechercher d’éventuels équipements qui accepteraient le mot de passe en question (probablement qu’une connexion directe pour vérifier la situation aurait été une totale catastrophe, bien que autorisée), ont trouvé assez rapidement plus de 36 000 hits.

Quoi faire ?

Etant donné que plusieurs marques sont susceptibles d’être affectées, il est difficile de donner un conseil en particulier sur la manière de vérifier si votre équipement peut être concerné.

Nous vous suggérons, par contre, de tester votre propre caméra de surveillance connectée, et pas celle de quelqu’un d’autre, afin de vérifier si le mot de passe en question fonctionne (nous vous le donnons à présent : 519070).

Si ce dernier fonctionne, vous avez un réel problème. S’il ne marche pas, vous n’êtes tout de même pas à l’abri qu’une faille de sécurité du même genre existe, au sein de votre équipement, avec tout simplement un autre mot de passe.

Pour cette raison, en attendant que le marché des objets connectés, tels que la caméra de surveillance connectée, comprenne et intègre sérieusement la notion de sécurité, nous vous suggérons de conserver ces équipements connectés seuls, à un réseau secondaire, associé à un pare-feu que n’autorise que votre login via un VPN (Virtual Private Network).

De cette manière, seuls les utilisateurs à distance et pré-authentifiés, pourront avoir accès au réseau sur lequel votre équipement est connecté, lequel sera alors en mesure d’accepter d’autres connexions.

Cette approche permettra de restreindre le nombre d’ordinateurs qui pourront se rapprocher de votre objet connecté, sans avoir à se soucier d’une quelconque vulnérabilité telle que le mot de passe codé en dur !


Billet inspiré de “More IoT insecurity: The surveillance camera that anyone can log into” par Paul Ducklin de Naked Security
Partagez “Caméra de surveillance connectée : Sécurité ou insécurité ?” avec http://wp.me/p2YJS1-2u3

Sophos
À propos de l’auteur

Lire des articles similaires

Qu’en pensez-vous ? Laissez un commentaire.

Your email address will not be published. Required fields are marked *