Système de vidéosurveillance : attention à la sécurité logique

En mars 2021, on apprenait que des hackeurs se présentant comme des militants anticapitalistes opposés à la vidéosurveillance avaient infiltré les flux vidéo de plus de 150 000 caméras qui utilisent les logiciels de la start-up californienne Verkada. Ils auraient trouvé sur le net le pseudo et mot de passe d’un administrateur informatique de la start-up.

Parmi les victimes, des hôpitaux, des prisons, des écoles mais aussi le constructeur automobile Tesla ou encore Clouflare, fournisseur de services pour de nombreux sites internet. Certaines images avaient été diffusées sur Twitter. En 2016, c’était le malware Mirai qui avait profité de vulnérabilités d’objets connectés, dont beaucoup de caméras, pour lancer des attaques massives en déni de service.

Pour éviter les cyberattaques et vols de données, les systèmes doivent être installés par les intégrateurs en respectant certaines règles de cybersécurité. Ils peuvent notamment s’appuyer sur le guide de recommandations sur la sécurisation des systèmes de contrôle d’accès physique et de vidéoprotection de l’Anssi (mise à jour des firmware, des logiciels, réseau dédié et protégé…). Ou encore sur le référentiel APSAD D32, qui définit les exigences techniques minimales auxquelles doivent répondre les systèmes de sécurité et/ou de sûreté raccordés à un réseau IP pour garantir un niveau de résistance aux attaques numériques dans des circonstances préalablement établies.

« L’attaque Mirai de 2016 est un exemple très concret que je reprends souvent pour expliquer les principales mesures à mettre en place pour sécuriser son système de vidéosurveillance », confie Ibrahim Daoudi, ingénieur en sécurité informatique à CNPP, qui a contribué au D32. Voici ses conseils, outre la sensibilisation et la formation, cruciales pour l’utilisateur, l’installateur et le constructeur.

• Changer les mots de passe par défaut et évidemment en choisir des robustes : « L’attaque Mirai a permis aux attaquants de prendre le contrôle de centaines de milliers de caméras dans le monde, avec une liste de moins de 100 mots de passe constructeur », souligne-t-il.

• Si possible (c’est encore rare pour les systèmes de vidéosurveillance), activer l’authentification à deux facteurs (2FA) qui consiste à ajouter un deuxième élément au mot de passe pour s’authentifier (par exemple un code reçu par SMS).

• Maintenir, mettre à jour les équipements : « Un équipement qui n’est pas à jour est un équipement vulnérable, dont un attaquant peut prendre le contrôle, que ce soit pour en extraire les images, pour désactiver la vidéosurveillance, ou même pour s’en servir pour attaquer d’autres systèmes. »

• Désactiver les services sensibles/non utilisés : « L’un des vecteurs d’attaque de Mirai était le service “telnet”, un vieux système de connexion à distance (non sécurisé) souvent actif sur les caméras, parfois même sans que l’utilisateur soit au courant… »

• Utiliser des produits certifiés attestant de leur performance fonctionnelle ainsi que leur robustesse aux attaques numérique. Les recommandations ci-dessus s’appliquent aux caméras comme aux enregistreurs.

• Interdire l’utilisation de mots de passe par défaut ou peu robustes.

• Limiter le nombre de tentatives de connexion possibles pour éviter les attaques bruteforce.

• L’Anssi recommande de chiffrer les communications contenant des données sensibles (vidéo, mots de passe…). « Il est vrai que le chiffrement des flux vidéo est rarement présent, c’est encore difficile techniquement aujourd’hui à appliquer, mais ça reste l’objectif que doivent avoir les produits. »

• Assurer une veille technologique et proposer des correctifs de sécurité rapidement lorsque des failles sont identifiées.

Article extrait du n° 572 de Face au Risque : « Vidéosurveillance : les nouveaux usages » (mai 2021).