caméra de sécurité : remède ou cancer ?

Je dois avouer avoir commencé à m’intéresser à ce sujet pour une question purement personnelle. Il s’agissait à l’origine de m’informer sur ces équipements qui ont tendances à fleurir ces derniers temps, y compris dans mon quartier. La flatteuse publicité qui en est faite évoque leur capacité à réduire les menus méfaits pouvant détériorer la vie d’un quartier, d’une résidence, d’un parking... Bref, la sécurité physique au secours de tous. La liste des structures pouvant utiliser ces équipements est très longue, surtout si l’on considère que ces solutions commencent même à s’introduire chez les particuliers.

même technologie, même faille !

D’un point de vue purement technique, je suis bien certain que personne ne sera étonné d’apprendre que ces équipements fonctionnent désormais sur IP, au travers des réseaux câblés ou sans fil. En termes de sécurité, il en découle que l’accès à ces solutions devient beaucoup plus simple et que ces dernières tombent sous le coup des règles traditionnelles de filtrage et d’isolation.

Malheureusement, le schéma assez classique qui consiste à ne pas tirer parti des expériences des solutions ayant déjà réalisé cette migration, semble se répéter. De nombreuses vulnérabilités sur ces équipements ont été trouvées ces derniers mois.

la preuve par l'exemple

Le premier élément qui a retenue mon attention permet de récupérer l’intégralité de la configuration de la caméra suite à un serveur Web mal configuré.

Le fait d’avoir la configuration de la caméra en elle-même peut ne pas sembler dérangeant, il faut cependant se rappeler que l’intégralité des mots de passe se trouve également présent sans aucune mesure de chiffrement. Il devient alors possible de détourner la caméra pour surveiller un lieu spécifique (utile pour un cambriolage ou un détournement d’information), soit de créer un déni de service (toujours utile pour le dit cambriolage – c’est mieux sans preuve).

Quoiqu’il en soit, vous conviendrez sans doute qu’il est anormal que j’ai pu prendre le screenshot ci-dessous.

camera

jusqu'où vont les possibilités ?

Complexité d’utilisation de la vulnérabilité en question ? Zéro. Il s’agit simplement de rentrer la bonne url pour accéder au fichier de configuration. En plus de ne pas respecter les bonnes pratiques en termes de protection des mots de passe, le paramétrage convenable des serveurs Web ne semble pas présent au programme. De grandes réjouissances en perspective pour les bidouilleurs de tout poil. Quoiqu’il en soit, tout ceci ne pourrait être qu’anecdotique, si ces caméras étaient convenablement isolées.

Isolées ? Possible si les équipes assurant le déploiement et la maintenance de ce type de matériel comprennent l’impact de certains protocoles comme l’UPnP (Universal Plug and Play - offre la possibilité de découverte et enregistrement automatique entre différents appareils). Pourquoi est-ce donc si important ? Tout simplement parce qu’il est implémenté et activé sur de nombreuses caméras et routeurs. La conséquence d’un oubli revient souvent à voir une caméra accessible directement depuis Internet au travers du routeur, sans filtrage, sans limitation.

Les prestations d’audit technique autour de ces systèmes ne semblent pas encore vraiment courantes, ce qui est dommageable. La « menace » d’un audit, quoi qu’on en dise, reste un moyen de faire réaliser certaines choses ou au minimum d’attirer l’attention de façon efficace. La répression ne faisant pas tout, il serait sans doute bon de lancer également quelques campagnes de sensibilisation sur ce thème.

premières conclusions

Si je devais faire un premier bilan des risques au travers des éléments structurant de la sécurité, mon analyse pour une installation faite rapidement et sans sécurisation complémentaire serait la suivante :

  • Failed- Confidentiality
  • Failed- Integrity
  • Failed- Availability

En fait, il serait sain de voir ces équipements un jour intégrés dans les politiques de sécurité en tant qu’éléments à surveiller et pas simplement comme une solution apportant une réponse sur les questions de sécurité physique. Ainsi traité de façon standard et sans se limiter à une protection juridique reportant le risque sur l’entité opérant le système, il est probable que ces solutions, et les déploiements associés, gagneraient en maturité.

Ce point me semble tout particulièrement important, car un report du risque pourrait se révéler une protection somme toute factice, car la perte d’information ou les dommages collatéraux toucheront probablement plus durement la victime par ses effets, qu’une pénalité le prestataire…

Un sujet qui reste à surveiller.

Cedric

Crédit photo : copyright Tiero - Fotolia.com

Cedric Baillet

Membre actif de la communauté sécurité d'orange Business Services, je suis aujourd'hui en charge, au sein de l'équipe marketing « sécurité »,  de la bonne prise en compte de la sécurité dans nos offres traitant des communications sur IP, et cela du mode cloud à l'intégré classique. Un large périmètre pour rencontrer des problématiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un océan de motivation pour toute personne qui marche  au challenge et à l'envie d'apprendre.