Security by default, c’est maintenant!

Il y a quelques jours, nous étions occupés à répondre à la demande d’un de nos clients concernant un système de vidéosurveillance en cours d’installation par le prestataire qu’il avait retenu. Le logiciel que celui-ci utilisait pour atteindre l’enregistreur vidéo fraîchement installé nous était inconnu tout comme le protocole qu’il utilisait. Port 50100/tcp, c’est assez inhabituel.

Après quelques recherches, nous finissons par trouver l’enregistreur vidéo utilisé, Cobra HDT ou un équivalent, et le logiciel de contrôle qui permet de visualiser (et d’enregistrer) les caméras à distance.

Le temps d’organiser un petit safari du côté de Shodan et nous trouvons un peu plus de 18’000 systèmes identiques sur la planète, dont plus de 185 en Suisse

Shodan, résultats de recherche

Ce sont des enregistreurs qui sont directement connectés à une ou plusieurs caméras. Ainsi, il s’agit de beaucoup plus que 18’827 caméras sachant que certains systèmes peuvent contrôler jusqu’à plus de 20 caméras.

Le système n’étant pas vraiment disponible « grand public », ce sont des installateurs spécialisés qui réalisent ces installations la plupart du temps.

Quand on fait installer un système de vidéosurveillance, on pourrait légitimement se dire que la question de la sécurité a du être abordée… Mais en fait, pas très souvent. Ou soyons honnêtes : c’est rarement le cas!

Sur le petit échantillon des 18’287 systèmes que nous avons exploré, nous avons pu accéder à environ 90% d’entre eux. Quelques exemples :

Au hasard, on y voit une enseigne de grande distribution avec vue sur les caisses et les stocks, le Merveilleux à Bâle, un coutellerie à Zurich, les couloirs d’un easyhotel en Suisse. Et pour finir, deux apparements de particuliers, un où nous n’avons mis que l’extrait de la terrasse (mais il y a des caméras à l’intérieur !) et le second à Zurich où on voit le salon et une grande terrasse.

Nous ne pouvons pas systématiquement informer les propriétaires, spécifiquement pour les deux exemples des caméras privées ci-dessus, car il n’y a pas d’élément permettant d’identifier précisément l’adresse. C’est aussi pour cette raison que nous avons pu les publier ici (s’ils tombent sur cet articles, ou certains de leurs amis qui connaissent leur domicile, qu’ils n’hésitent surtout pas à nous contacter!).

Des centres médicaux et des pharmacies aussi !

Nous avons également trouvé des pharmacies, des garages automobiles, un spécialiste de véhicules de collection avec vue sur le stock (pratique pour faire son choix), des boulangeries, des magasins de tabacs en plein centre ville, etc.

Lors d’un précédent tour d’horizon en cours d’année dernière, nous avions trouvé auprès d’un autre fabricant des cabinets médicaux (!!!), des pharmacies, des centres de yoga et des groupes de physiothérapeutes. En libre accès pour tout le monde.

Du pain béni pour les cambrioleurs et les criminels

Comme souvent, le risque n’est pas toujours flagrant au premier abord mais ce sont des outils qui sont utilisés/utilisables par les criminels : savoir quand les caisses sont vidées dans les magasins, les heures de ronde des gardes, s’il y a des gardes, les codes sur les caisses enregistreuses pour ouvrir le tiroir, etc. Pour le easyhotel, c’est probablement utilisable pour le chantage et l’extorsion : pouvoir prouver que vous étiez là-bas, entrant dans une chambre, et pas accompagné du coinjointe/de la conjointe attendu/e. Ca peut rapidement aller très loin.

Nous n’évoquons même pas les caméras privées dans le domicile parce que l’enjeu est évident.

La solution tient pourtant en trois mots : Security by default

Le plus consternant dans le fond, c’est qu’il est si simple d’éviter cette diffusion incontrôlée d’images privées et confidentielles : il suffit que les fabricants intègrent l’obligation de choisir un mot de passe à l’installation et ne prévoient plus de mots de passe par défaut. Facile, hein ? Encore faut-il les convaincre.

Tous les systèmes d’enregistrement que nous évoquons ci-dessus utilisent les accès par défaut admin et 00000. Sans exception. Pour d’autres constructeurs c’est admin / admin, admin / 1111111 ou admin et pas de mot de passe du tout. Et pas de mot de passe ou ceux par défaut du constructeur revient strictement en même.

Nous ne parlons ici que d’une seule marque de système de vidéosurveillance, mais il y en a des centaines. Qui appliquent toutes (ou presque) les mêmes règles par défaut.

Obliger l’installateur à choisir autre chose lors de la mise en route des serveurs et des caméras suffirait à apporter le minimum de sécurité qu’on peut attendre d’eux. Quand ils n’ont pas été très attentifs pendant les formations qu’ils ont nécessairement du suivre 🙂

Il y a fort heureusement bon nombre d’installateurs qui sont très consciencieux, bien formés et réalisent des déploiements parfaits dans les règles de l’art. Mais ils sont les exceptions plutôt que la règle. Et ça, ça doit changer.

Ca ne se limite pas non plus aux systèmes de vidéosurveillance. Tous les équipements IoT sont concernés (des machines à laver le linge au réfrigérateurs « intelligents » en passant par les babyphone).

Effort collectif en route, mais le chemin est long et escarpé

Il y a de plus en plus de concertations et de groupes de travail qui tentent d’obliger les constructeurs à appliquer les règles de bonne pratique en matière de sécurité -pas de mot de passe par défaut et obligation d’un choisir un non faible, mises à jour des firmwares garanties voire automatiques, transparence sur les diverses couches réseau utilisées, etc- et il est vraiment vraiment temps de s’y mettre. Plus le retard qu’on prend est important, plus nous ne le comblerons jamais.

Pour référence, plusieurs failles récemment découvertes dans le code utilisé pour la communication sur internet par des millions de dispositifs différents ne seront tout simplement pas corrigées par la plupart des fabricants. Les modèles étant en fin de vie, plus maintenus ou simplement pas capables d’être mis à jour à distance.

Imaginez acheter une voiture, et devoir la jeter en cas de crevaison car il n’existerait pas de roue de secours. Impensable n’est-ce pas ? C’est pourtant comme ça avec la plupart des IoT.

Que faire si vous envisagez d’installer des caméras chez vous ?

Si vous avez des caméras chez vous, c’est le moment de vérifier que vous seul y avez accès 🙂 Et si vous comptiez réaliser une installation prochainement, appliquez ces quelques principes simples et vous n’aurez aucun problème :

  • ne laissez pas les mots de passe par défaut. Changez-les systématiquement
  • désactivez le protocole UPnP sur toutes les caméras et les enregistreurs vidéo
  • si possible, désactivez UPnP sur votre box ; il transforme votre éventuel parefeu en véritable emmental (oui, parce qu’il faut toujours rappeler à nos lecteurs non hélvétiques que le Gruyère n’a pas de trou!)