Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Caméra de sécurité : remède ou cancer ?

Caméra de sécurité : remède ou cancer ?
2013-03-042013-03-04sécurité physiquefr
Je dois avouer m'intéresser à ce sujet pour une question purement personnelle. Il s'agissait à l'origine de m'informer sur ces équipements qui ont tendances à fleurir ces derniers temps : la sécurité physique au secours de tous. La liste des structures pouvant utiliser ces équipements est longue
Publié le 4 Mars 2013 par Cedric Baillet dans sécurité physique
camera spying

Je dois avouer avoir commencé à m’intéresser à ce sujet pour une question purement personnelle. Il s’agissait à l’origine de m’informer sur ces équipements qui ont tendances à fleurir ces derniers temps, y compris dans mon quartier. La flatteuse publicité qui en est faite évoque leur capacité à réduire les menus méfaits pouvant détériorer la vie d’un quartier, d’une résidence, d’un parking... Bref, la sécurité physique au secours de tous. La liste des structures pouvant utiliser ces équipements est très longue, surtout si l’on considère que ces solutions commencent même à s’introduire chez les particuliers.

même technologie, même faille !

D’un point de vue purement technique, je suis bien certain que personne ne sera étonné d’apprendre que ces équipements fonctionnent désormais sur IP, au travers des réseaux câblés ou sans fil. En termes de sécurité, il en découle que l’accès à ces solutions devient beaucoup plus simple et que ces dernières tombent sous le coup des règles traditionnelles de filtrage et d’isolation.

Malheureusement, le schéma assez classique qui consiste à ne pas tirer parti des expériences des solutions ayant déjà réalisé cette migration, semble se répéter. De nombreuses vulnérabilités sur ces équipements ont été trouvées ces derniers mois.

la preuve par l'exemple

Le premier élément qui a retenue mon attention permet de récupérer l’intégralité de la configuration de la caméra suite à un serveur Web mal configuré.

Le fait d’avoir la configuration de la caméra en elle-même peut ne pas sembler dérangeant, il faut cependant se rappeler que l’intégralité des mots de passe se trouve également présent sans aucune mesure de chiffrement. Il devient alors possible de détourner la caméra pour surveiller un lieu spécifique (utile pour un cambriolage ou un détournement d’information), soit de créer un déni de service (toujours utile pour le dit cambriolage – c’est mieux sans preuve).

Quoiqu’il en soit, vous conviendrez sans doute qu’il est anormal que j’ai pu prendre le screenshot ci-dessous.

camera

jusqu'où vont les possibilités ?

Complexité d’utilisation de la vulnérabilité en question ? Zéro. Il s’agit simplement de rentrer la bonne url pour accéder au fichier de configuration. En plus de ne pas respecter les bonnes pratiques en termes de protection des mots de passe, le paramétrage convenable des serveurs Web ne semble pas présent au programme. De grandes réjouissances en perspective pour les bidouilleurs de tout poil. Quoiqu’il en soit, tout ceci ne pourrait être qu’anecdotique, si ces caméras étaient convenablement isolées.

Isolées ? Possible si les équipes assurant le déploiement et la maintenance de ce type de matériel comprennent l’impact de certains protocoles comme l’UPnP (Universal Plug and Play - offre la possibilité de découverte et enregistrement automatique entre différents appareils). Pourquoi est-ce donc si important ? Tout simplement parce qu’il est implémenté et activé sur de nombreuses caméras et routeurs. La conséquence d’un oubli revient souvent à voir une caméra accessible directement depuis Internet au travers du routeur, sans filtrage, sans limitation.

Les prestations d’audit technique autour de ces systèmes ne semblent pas encore vraiment courantes, ce qui est dommageable. La « menace » d’un audit, quoi qu’on en dise, reste un moyen de faire réaliser certaines choses ou au minimum d’attirer l’attention de façon efficace. La répression ne faisant pas tout, il serait sans doute bon de lancer également quelques campagnes de sensibilisation sur ce thème.

premières conclusions

Si je devais faire un premier bilan des risques au travers des éléments structurant de la sécurité, mon analyse pour une installation faite rapidement et sans sécurisation complémentaire serait la suivante :

  • Failed- Confidentiality
  • Failed- Integrity
  • Failed- Availability

En fait, il serait sain de voir ces équipements un jour intégrés dans les politiques de sécurité en tant qu’éléments à surveiller et pas simplement comme une solution apportant une réponse sur les questions de sécurité physique. Ainsi traité de façon standard et sans se limiter à une protection juridique reportant le risque sur l’entité opérant le système, il est probable que ces solutions, et les déploiements associés, gagneraient en maturité.

Ce point me semble tout particulièrement important, car un report du risque pourrait se révéler une protection somme toute factice, car la perte d’information ou les dommages collatéraux toucheront probablement plus durement la victime par ses effets, qu’une pénalité le prestataire…

Un sujet qui reste à surveiller.

Cedric

Crédit photo : copyright Tiero - Fotolia.com

1 Commentaire

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage