Vidéosurveillance et IoT : Aperçu des Protocoles et des Risques de Sécurité

La vidéosurveillance, initialement conçue comme un outil de sécurité pour les personnes honnêtes, fait parfois face à des failles de sécurité menaçant la confidentialité des propriétaires. Ces vulnérabilités ont conduit à la formation de botnets utilisant des caméras connectées et à la crainte d’être surveillé par des tiers via son propre équipement. De la CCTV à l’ère de l’IP, d’Internet, puis à l’explosion de l’Internet of Things (IoT), chaque génération de vidéosurveillance a engendré ses propres problèmes. Examinons cette évolution problématique.

Débuts historiques de la vidéosurveillance

Après la Seconde Guerre mondiale, les premiers systèmes de vidéosurveillance, d’usage militaire ou gouvernemental, voient le jour, sans capacité d’enregistrement, nécessitant une surveillance constante. Vers les années 70, l’arrivée des supports vidéos comme les cassettes favorise l’enregistrement et l’élimination des images, rendant la vidéosurveillance plus accessible et répandue dans les espaces publics et entreprises.

Ces premiers dispositifs analogiques s’appuyaient sur des câbles coaxiaux transmettant les signaux analogiques vers un centre de contrôle équipé de moniteurs ou d’enregistreurs. Cette technologie, connue sous le nom de CCTV, se caractérisait par une diffusion strictement interne.

Les risques de sécurité impliquaient principalement l’accès physique aux câbles pour interférer avec le signal vidéo. Par ailleurs, des méthodes plus sophistiquées, utilisant des perturbations électromagnétiques, pouvaient altérer le signal sans destruction. La méthode TEMPEST, exploitant les émanations électromagnétiques, mécaniques ou acoustiques, pouvait également être utilisée pour reconstruire les informations originales.

Avec le progrès des réseaux informatiques et des technologies numériques dans les années 90, les systèmes de vidéosurveillance numériques ont émergé. Une période de transition a mêlé technologies analogiques et numériques, avant que les caméras analogiques ne soient progressivement remplacées par des caméras numériques IP, intégrant directement le réseau informatique pour la transmission vidéo.

Évolution vers la technologie IP dans la vidéosurveillance

Avec l’évolution de la vidéosurveillance, les caméras IP sont désormais intégrées dans des réseaux variés, tels que les réseaux domestiques, d’entreprise, filaires ou sans fil, publics ou privés. Ces réseaux multifonctionnels diffèrent grandement des systèmes analogiques précédents.

Contrairement aux caméras analogiques qui se limitaient à transmettre un flux vidéo continu vers des équipements spécifiques, les caméras IP interagissent avec une multitude d’éléments de réseau tels que switches, routeurs, pare-feux, points d’accès wifi, et autres connexions Internet. Elles sont également plus complexes, offrant des options de configuration avancées, des interfaces administratives multiples (HTTP(S), SSH, Telnet, technologies propriétaires), et supportent divers protocoles de diffusion vidéo. Certaines sont même composées de plusieurs sous-systèmes exécutant différents systèmes d’exploitation et communiquant entre eux.

En raison de leurs fonctionnalités et de leurs moyens de communication, les caméras IP sont confrontées aux mêmes problématiques de sécurité que les autres composants du système d’information, telles que l’isolation des segments de réseau, la gestion des correctifs, la configuration sécurisée et la réduction de la surface d’attaque.

Dahua Technology : À la pointe de la vidéosurveillance et de l’IoT

Fondée au début du 21ème siècle, Dahua Technology s’est rapidement imposée comme un leader mondial dans les solutions de sécurité vidéo et de l’IoT. Avec la stratégie « Dahua Think# » lancée en 2021, l’entreprise a étendu son expertise au-delà de la caméras de marque Duhua, en offrant des solutions IoT intelligentes pour les villes et les entreprises. En 2021, Dahua a enregistré des revenus impressionnants, grâce à une équipe dédiée où la moitié des employés se concentre sur la R&D. Dahua se distingue par une vaste gamme de produits allant des caméras de sécurité aux systèmes d’intercommunication et dispositifs d’alerte, répondant aux besoins des secteurs divers et des particuliers.

Problématiques de sécurité et vulnérabilités communes

La sécurité de nombreux modèles de caméras IP a été négligée pour diverses raisons, telles que les contraintes de coût ou les impératifs de mise sur le marché. Parmi les vulnérabilités courantes, on trouve :

  • Transmission non chiffrée des flux vidéo ou d’administration, ouvrant la voie à des attaques de type Man-in-the-middle.
  • Failles dans l’authentification ou son implémentation, tant pour l’administration que pour la diffusion vidéo, permettant l’accès via des lecteurs de streaming comme VLC.
  • Utilisation de mots de passe par défaut, souvent inchangés par les utilisateurs.
  • Présence de vulnérabilités web classiques, certaines permettant l’exécution de code ou de commandes systèmes, parfois sans nécessité d’authentification préalable.

À titre d’exemple, un modèle ancien de Network Camera d’Axis ne disposait pas de cookie de session, permettant un accès non authentifié à la page d’administration. Plus récemment, la SmartCam de Samsung a présenté une faille dans son application web, autorisant la réinitialisation du mot de passe administratif sans connaître le mot de passe actuel.

Problèmes de sécurité spécifiques et risques de backdoors

En plus des vulnérabilités accidentelles, certaines caméras semblent intégrer des backdoors intentionnelles, telles que des accès Telnet laissés pour le débogage ou des mots de passe « en dur » que les fabricants choisissent de ne pas retirer. Ces accès non sécurisés posent un risque majeur de sécurité.

De nombreuses caméras sont également exposées sur Internet, souvent sans le savoir de l’utilisateur, en partie à cause de l’UPnP qui facilite la redirection des ports, contournant les mesures de sécurité du NAT. Une recherche sur Shodan révèle l’étendue de ce problème avec de nombreuses caméras non sécurisées accessibles en ligne.

Nous allons maintenant examiner comment l’ère de l’IoT a introduit de nouvelles technologies et vulnérabilités dans le domaine de la vidéosurveillance.

Impact de l’IoT sur l’évolution de la vidéosurveillance

L’IoT a introduit de nouveaux protocoles de communication, la prolifération d’infrastructures cloud, et l’accessibilité de SoCs et de kits de développement, transformant profondément la vidéosurveillance. Les caméras ne sont plus l’apanage des entreprises ou des services publics mais sont devenues courantes dans les maisons connectées, souvent gérées sans expertise en sécurité informatique.

Une tendance notable est l’envoi de données vidéo dans le cloud, accessible via des navigateurs web ou des applications mobiles, offrant commodité mais posant des risques de sécurité.

Étude de cas : vulnérabilités dans les systèmes connectés

Un exemple implique une caméra connectée au cloud de son éditeur via VPN, permettant la gestion à distance de sa configuration et l’accès à son flux vidéo. Une faille a été découverte dans le bootloader de la caméra, permettant l’installation d’une backdoor et l’obtention d’un accès root.

Les informations d’authentification VPN et administratives, non modifiables par l’utilisateur, ont été exploitées pour accéder à d’autres caméras connectées au même réseau privé de l’éditeur, révélant ainsi les flux vidéo de ces caméras à des tiers non autorisés.

Analyse de cas : sécurité et gestion des caméras modernes

Cette caméra utilise deux types de flux : un flux vidéo vers le cloud de l’éditeur et un flux XMPP pour la gestion. L’application mobile et la caméra agissent comme des clients XMPP, communiquant via des messages de contrôle.

L’extraction d’identifiants de l’application mobile a permis l’accès au service XMPP avec un client de messagerie standard, révélant une configuration défaillante permettant d’énumérer et de contrôler à distance toutes les caméras connectées. Les messages instantanés en JSON offrent des options de contrôle variées, telles que le redémarrage de la caméra ou la modification de ses paramètres wifi.

Cas pratique : failles dans les systèmes domotiques intégrés

Dans certains cas, la vidéosurveillance est intégrée dans une offre domotique plus large, incluant une passerelle IoT connectée au réseau local. Cette passerelle, en se connectant au réseau du fabricant, peut être exploitée pour compromettre non seulement les caméras, mais aussi d’autres objets connectés gérés par elle.

Un audit sur une offre domotique connectée regroupant différents objets connectés a révélé des failles dans le protocole MQTT, fréquemment utilisé dans l’IoT. Les identifiants de connexion au service MQTT, stockés en dur dans l’application mobile, étaient les mêmes pour tous les clients. Le cloisonnement des données était insuffisant, permettant à un client malintentionné de souscrire ou publier sur des flux arbitraires, et ainsi de prendre le contrôle des objets connectés d’autres utilisateurs, y compris les paramètres des caméras de surveillance.

Actualités et exemples récents de failles de sécurité

Récemment, des vulnérabilités ont été découvertes dans des caméras de fabrication chinoise, utilisées dans plus de 1200 modèles. Ces vulnérabilités incluent des backdoors, un accès non authentifié au flux vidéo, et l’exécution de code en tant que root. De plus, une connexion cloud défaillante expose davantage ces caméras, permettant potentiellement des attaques par force brute pour obtenir un contrôle total.

Une autre recherche a mis en lumière des failles dans le cloud d’un fabricant populaire, permettant la lecture de fichiers sur les serveurs d’API à distance avec des droits root, et offrant un accès potentiel à des milliers de caméras connectées.

Analyse des causes de défaillance en sécurité IoT

Ces vulnérabilités partagent plusieurs points communs. La première est l’échec des mesures de sécurité traditionnelles comme le NAT ou les pare-feux à cause des connexions initiées par les caméras vers le cloud. Cela rend possible la compromission de l’ensemble des caméras connectées au cloud, et potentiellement des réseaux privés sur lesquels elles sont installées.

Un autre problème récurrent est la trop grande confiance des fabricants dans la sécurité locale de leurs produits, où des données sensibles sont souvent stockées sans protections adéquates. De plus, les protocoles de l’IoT tels que MQTT ou XMPP ne sont pas toujours bien sécurisés, menant à de nombreuses vulnérabilités.

Les protocoles radio dédiés à l’IoT, comme SigFox ou LoRa, ont aussi leurs faiblesses, notamment en termes de chiffrement des échanges, laissant la porte ouverte à des attaques de type sniffing ou usurpation.

Enfin, les erreurs classiques dans la gestion de la vidéosurveillance sur IP persistent, comme les caméras avec des IP publiques, l’utilisation de protocoles non sécurisés, l’absence d’authentification pour les flux vidéo, et l’utilisation de mots de passe par défaut ou de backdoors.

Le facteur humain joue également un rôle, avec la tendance à « déployer et oublier » les caméras, menant à un manque de mises à jour de sécurité. Par ailleurs, l’accessibilité croissante du « hacking » matériel et la puissance des caméras elles-mêmes facilitent les attaques.

Synthèse et perspectives sur la sécurité de l’IoT

La vidéosurveillance dans le cadre de l’IoT demeure vulnérable, un problème exacerbé depuis son intégration aux réseaux, en particulier Internet. Ces vulnérabilités attirent l’attention des chercheurs en sécurité, mais aussi de cybercriminels, conduisant à la formation de botnets comme « Mirai ». Les caméras de vidéosurveillance, avec leur bande passante et temps de réponse adéquats, sont des cibles privilégiées pour rejoindre ces botnets.

Elles peuvent aussi devenir des points d’entrée vers des réseaux internes autrement inaccessibles, parfois exploitables via le cloud des fabricants. Les scénarios de risques vont du cambrioleur technophile manipulant la vidéosurveillance à des fins d’espionnage, même si de tels cas ne sont pas fréquemment rapportés.

Les principales causes de ces vulnérabilités résident dans la connexion des équipements par les utilisateurs sans respecter les bonnes pratiques de sécurité, de la modification des mots de passe par défaut à l’application de mises à jour. Peu de solutions IoT incitent à la mise en place de ces mesures de sécurité essentielles.

Il est crucial que les éditeurs adoptent une démarche de sécurité rigoureuse pour minimiser les risques. L’utilisation de caches physiques sur les webcams par des professionnels de la sécurité illustre le niveau de confiance accordé à ces dispositifs. Cette méfiance est d’autant plus justifiée avec l’augmentation du nombre de caméras dans les espaces publics et privés.

Sources et références

Auteur
Claire Dubois
Claire Dubois est une experte en immobilier avec un passé d'agent et une passion pour l'architecture. Diplômée en journalisme immobilier, elle offre sur ce site des analyses pointues et des conseils éclairés.

Laisser un commentaire