Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Caméra de sécurité: des raisons d'être inquiet ?

Caméra de sécurité: des raisons d'être inquiet ?
2013-03-112013-03-22sécurité physiquefr
L'année 2013 a commencée avec trois vulnérabilités sur les systèmes de type CCTV & DVR. L'une d'elles, CVE 2013-2091, permet d'accéder à la configuration du système via une simple url. Des raisons d'être inquiet ? Par forcément, tout est une question de design...
Publié le 11 Mars 2013 par Cedric Baillet dans sécurité physique
camera spying

L’année 2013 a commencée avec trois vulnérabilités sur les systèmes de type CCTV & DVR. L’une d’elles, CVE 2013-2091, permet d’accéder à la configuration du système via une simple url. Un scan de quelques tranches IP utilisées sur le territoire français a permis de trouver un nombre significatif de périphériques vulnérables.

localisation géographique des périphériques vulnérables

Des raisons d’être inquiet ? Par forcément, tout est une question de design. Mais si vous avez un système présent dans l’une des zones marquées, peut être serait-il bon malgré tout de vérifier qu’il n’est pas accessible depuis Internet. Les hypothèses théoriques ont tendances à avoir une vie réelle qui leur est propre.

camera

De cette expérience pratique, je retiens que de nombreux utilisateurs ont fait un effort significatif en matière de complexité pour leurs couples login/password. Il est donc extrêmement dommageable de voir ces vertueux efforts réduit à néant par une négligence de développement.

Une désignation qui peut paraitre dure, j'en ai conscience, mais comment appeler autrement une mauvaise gestion des droits d'un fichier de configuration contenant des données sensibles "en clair" ?

vulnérabilités : trop faciles

Le nombre de vulnérabilités touchant les systèmes de type CCTV & DVR semble par ailleurs bien faible comparé au nombre de modèles disponibles sur le marché. 

cctv

Des esprits cartésiens feront remarquer que derrière les marques, nombreuses, des solutions techniques en marque blanche sont couramment utilisées et permettre de restreindre un peu cette base. Une petite recherche permettra néanmoins de se confronter à un périmètre assez vaste.

Le faible nombre de vulnérabilités permet de voir qu’assez classiquement, elles apparaissent par bouffée lorsque quelqu’un se penche un peu sérieusement sur le sujet. Les exploits disponibles, notamment ceux exploitants les possibilités de type « information disclosure », restent d’une simplicité déconcertante, aussi simple qu’une url quasi directe… On pourra retrouver certains de ces derniers sur des sites comme http://www.exploit-db.com/ ou encore http://1337day.com/search.

conclusion : ça fait mal !

Ma conclusion du jour: il est probable que la plupart des apprentis hackers seront aptes à trouver une faille permettant d’exploiter une caméra facilement accessible, tant que le niveau de base n’aura pas été significativement élevé. Pour finir sur une touche d’humour (spéciale dédicace aux fans de la série NCIS), Aby & McGee ne sont pas si impressionnant finalement. :-)

Cedric

Crédit photo : copyright Tiero - Fotolia.com

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage