Des attaques des hackers sur les systèmes de vidéo surveillance via le réseau.

Le système de vidéo surveillance a avant tout pour but de vous protéger en respectant les règles principales de l’intimité, du secret de l’entreprise ou de l’objet surveillé. Un système bien conçu et configuré ne remplira son rôle que lorsqu’il sera également bien protégé, c’est-à-dire convenablement configuré selon sa fonction, surtout en ce qui concerne son fonctionnement en profitant du résau Internet.

Récemment, nous observons de plus en plus des attaques des hackers sur des dispositifs autonomes du système de sécurité, tels que des caméras IP, des enregistreurs (DVR, NVR) qui fonctionnent à base du réseau. De très nombreux dispositifs deviennent des victimes des attaques car l’on néglige ou ignore des questions de sécurité liées à la configuration des dispositfs d’accès (p.ex. d’un routeur) à la sortie du réseau local avec un système connecté de la vidéo surveillance qui permettent d’accéder à ce système vie un large réseau Internet.

Fig. 1. Un logiciel d'un hacker attend d'utiliser une vulnérabilité dans votre système...

Dans de nombreux cas, ce n’est pas une erreur ou une vulnérabilité dans le logiciel qui provoque une attaque sur un dispositif par un hacker mais le fait que l’utilisateur laisse « une porte ouverte », c’est-à-dire des paramètres de sécurité par défaut ; ainsi, votre dispositif n’est pas du tout protégé.

Lorsque votre caméra IP est connectée à l’Internet (configurée pour être visible sur Internet), une personne non autorisée reçoit l'accès à un flux d'image de la caméra et à sa configuration. Un exemple du site internet www.insecam.org, dont les auteurs n'ont pas été obligés d’attaquer le dispositif, peut être un bon avertissement.

Fig. 2. Vous n'avez pas protegé votre caméra – tout le monde peut vous regarder !

Il a suffi de créer un script qui recherche des adresses des caméras en ligne sur l’Internet, puis de vérifier s’il est possible d'y accéder en utilisant un identifiant d'utilisateur par défaut et un mot de passe du fabricant (predéfini par le fabricant). Le cas échéant, l’image d’une telle caméra est affichée sur leur site, à l'insu du propriétaire. Il s’avère qu’il y a des milliers de caméras de vidéo surveillance non protégées dans le monde entier, dans des entreprises, des entrepôts, des magasins ainsi que dans des résidences privées. Il suffisait, lors de la configuration d’une nouvelle caméra, de changer de mot de passe par défaut avant de la rendre disponible au réseau, ainsi l’image de la caméra ne serait pas rendue publique sur ce site (heureusement, après avoir modifié la configuration et avoir défini un nouveau mot de passe, la caméra disparaît de ce site).

De plus en plus d’attaques des hackers touchent aux enregistreurs de vidéo surveillance qui fonctionnent dans des systèmes de surveillance. De telles attaques provoquent souvent des défauts, tels que la suppression ou un endommagement de la mémoire du dispositif. Le chargement des logiciels malveillants (virus) sur un dispositif peut le transformer en un robot qui attaque d'autres systèmes informatiques ou une machine destinée à un but particulier (p.ex. en un Bitcoin digger). Chaque enregistreur est un ordinateur à carte unique spécialisé pour enregistrer des données vidéo, par conséquent, ce dispositif est une sorte de ressource potentielle d’équipements qui risque d’être utilisé par le réseau en tant que « zombie » à diverses fins.

Fig. 3. Carte d'enregistreur. L'enregistreur est un ordinateur à carte unique entièrement fonctionnel dédié à un but particulier.

Un logiciel de type hacker ou un virus qui attaque un dispositif peut utiliser non seulement une connaissance commune des mots de passe par défaut, mais aussi tenter d'accéder à un tel dispositif via des mots de passe faibles lorsque, par exemple, nous modifions un mot de passe par défaut « admin » en « admin1 » ; cela n'augmente pas notre sécurité car c’est une situation prévue par un attaquant. Un autre problème sont les mots de passe de service créés par les fabricants pour débloquer un dispositif lorsque, par exemple, un utilisateur oublie son mot de passe. Si ces mots de passe sont attrapés par des tiers ou s'ils peuvent être générés en quelque sorte, ils constituent un danger qui peut être utilisé par un attaquant (« porte arrière » - ang. « backdoor »).

Par conséquent, en dehors de la configuration de l'enregistreur lui-même, il est important de créer un réseau dédié dans lequel il fonctionne, de corriger la configuration, du point de vue de sécurité, des dispositifs d'accès à ce réseau (ne pas utiliser la fonction DMZ - zone démilitarisée - fournissant un accès illimité au dispositif, un changement de ports de communication par défaut, l’activation du filtrage des adresses) et d’installer un logiciel le plus récent dans les dispositfs qui scelle toutes les irrégularités signalées et augmente le niveau de sécurité de ces dispositfs.

Il est alors important de respecter les règles ci-dessous :

Le mot de passe doit être difficile à deviner et contenir divers caractères et chiffres. Seuls les utilisateurs autorisés devoint avoir le droit d’accès à ces mots de passe. Il vaut également la peine d'envisager un changement systématique de mots de passe qui est une autre mesure de sécurité pour qu’un tiers ne devine pas votre mot de passe (remplacement d'un employé autorisé, divulgation de données confidentielles). Il est également recommandé de prêter attention aux autorisations d'Onvif. Certains modèles des caméras impliquent, outre le changement de mots de passe de système, un changement de mot de passe pour votre compte Onvif.

DMZ est une zone démilitarisée ; si vous mettez votre dispositif dans cette zone du routeur, vous fournissez l'accès du réseau externe à tous les ports qui sont ouverts dans une configuration par défaut de votre dispositif (le dispositif se trouve au-délà du pare-feu du routeur). Ceci est très dangereux car la plupart des configurations ont un port TELNET ouvert qui est surtout utilisé pour attaquer les dispositfs. En ce qui concerne le routeur, il ne faut y rediriger que les ports nécessaires pour communiquer avec un dispositif (HTTP, TCP). Il n’est pas nécesaire de rediriger une large gamme de ports mais uniquement ceux qui sont indispensables pour remplir des fonctions spécifiques. Il convient de mentionner le fait que si les caméras réseau sont connectées à l'enregistreur, vous n'êtes pas obligé de rediriger leurs ports pour une communication correcte avec le système de surveillance, il suffit de rediriger uniquement les ports de l'enregistreur.

Le port 80 par défaut est le plus souvent attaqué par des hackers. Par suite d’un changement de numéros des ports par défaut il est plus difficile de les deviner par des tiers.

L'activation de cette option dans le routeur permet d'indiquer des adresses spécifiques (adresses du réseau IP ou celles physiques MAC) des dispositifs fiables qui créent une connexion à distance à notre dispositif.

Un cloud protégé assure une protection sûre d'un dispositif fonctionnant dans un tel cloud.

Dans le cas des applications clients, il est interdit d'utiliser la fonction de la connexion automatique, surtout lorsqu'un ordinateur est utilisé par quelques personnes. Le nom d'utilisateur et le mot de passe devraient également être uniques. L'utilisation des mots de passe identiques pour différents services et à différents comptes crée un risque en cas de divulgation ou de vol des données privées. Ce sont des mesures suivantes pour améliorer la sécurité et entraver l'accès pour des personnes non autorisées. Si le système est utilisé par de nombreuses personnes, assurez-vous que toutes les personnes possèdent des autorisations correspondant à leurs fonctions (pas plus larges que ceci est nécessaire).

Les dispositifs du système de surveillance doivent être situés dans un réseau séparé sans aucun autre dispositif et avec un accès gratuit vers et depuis Internet. C'est une mesure de sécurité contre un accès non autorisé. S'il n'y a pas de possibilité de créer un réseau physiquement séparé, il est nécessaire de créer un sous-réseau avec une quantité d'adresses IP différentes par rapport à celles qui existent dans l'installation (p.ex. 10.10.10.xxx et rendez le masque du sous-réseau plus étroit, p.ex. 255.255. 255.0). L'accès à un tel sous-réseau sera activé par un routeur supplémentaire qui redirige les connexions entre les réseaux.

Il faut toujours vérifier la version et la possibilité de mettre à jour le logiciel (firmware). Le logiciel le plus récent améliore le niveau de sécurité du dispositif par suite de l'élimination des défauts éventuels trouvés dans des versions précédentes.

Beaucoup de caméras et enregistreurs vidéo réseau sont équipés d’une option de communication HTTPS intégrée en profitant de SSL. Son activation permet de crypter la communication entre les dispositifs, en empêchant par exemple d’écouter un mot de passe.

Il faut toujours lire la notice d’utilisation du dispositif. Cela nous permet de connaître ses fonctions et les fonctions activées par défaut. Il est conseillé de désactiver toutes les fonctions inconnues pour nous. Lorsque nous n'utilisons pas de protocoles tels que UPnP, SNMP, MULTICAST, il faut les désactiver.

Si vous soupçonnez qu'il y a eu un accès non autorisé à votre système, il vaut la peine de profiter des historiques des événements qui permettent de déterminer certaines informations (date de connexion, adresse IP, fonctions utilisées).

Il convient également de mentionner que l'enregistreur lui-même doit être placé dans une pièce protégée qui empêchent l'accès aux personnes non autorisées (boîtes, armoires Rack, salles de serveurs).

Le respect des règles de sécurité ci-dessus par les installateurs des systèmes de vidéo surveillance permettra certainement de créer un système de sécurité et, pour les utilisateurs, un fonctionnement sûr et fiable est une meilleure recommandation pour l'installateur en tant qu'expert authentique.