D’une station de lavage à une chambre d’enfant en passant par le hall d’entrée d’une entreprise ou une rue piétonne, il n’y a qu’un clic. A Meudon, Paris, Caen, Lyon, Nantes, Nice ou Bondy, le site www.insecam.org diffuse les images de 73.000 caméras de vidéosurveillance piratées, dont 3.285 en France. L’objectif du hacker responsable du site est de dénoncer les problèmes de sécurité liés à ces appareils connectés sur Internet et en éduquer les propriétaires. Dans son viseur, toutes sortes de caméras IP utilisées pour surveiller et consulter les images à distance, en vogue chez les particuliers comme dans les entreprises.
Caméras trouvées sur Google. « Même si ses agissements sont punissables, ce pirate a raison : ce type de matériel comprend forcément des failles de sécurité, met en garde Dominique Legrand, président de l’Association nationale de la vidéoprotection (AN2V). Dans le domaine de la vidéosurveillance, il faut dénoncer cet amateurisme. Ces caméras, accessibles par tous pour très peu d’argent, ne sont pas un dispositif professionnel de sécurité. » Pour diffuser les images, le hacker explique dans la Foire aux questions de son site internet, hébergé en Russie, avoir simplement profité de la négligence des utilisateurs qui n’ont parfois ni changé le mot de passe initial des caméras ni le nom de l’administrateur. Via des moteurs de recherche comme Google ou Shodan HQ, spécialisé dans la sécurité informatique, il est ainsi possible de retrouver ces caméras insuffisamment sécurisées.
Sécuriser la connexion. Pour se prémunir de ce type d’attaques, il s’agit donc de sécuriser l’adresse IP, changer le mot de passe et le nom d’administrateur et n’autoriser que quelques appareils à se connecter à la caméra. Mais Dominique Legrand ajoute : « Observer des images de son salon depuis son lieu de travail, ce n’est pas de la sécurité ! Que fait le propriétaire s’il voit deux cagoules le dévaliser en temps réel ? Il faut faire remonter les données chez un professionnel, le télévidéosurveilleur, qui saura agir de façon immédiate et adaptée en cas d’urgence. »
Le président de l’AN2V préconise ainsi l’installation d’un dispositif professionnel, avec une solution de télésurveillance. « La vidéosurveillance est sécurisée et sécurisable dès lors que l’on fait appel aux bons outils. Des millions de caméras de surveillance existent dans le monde et ne sont pas pour autant diffusées librement sur internet. Les systèmes professionnels utilisent un circuit fermé, le CCTV (Closed-circuit Television), ultra-sécurisé. Pour les caméras connectées à internet, les installateurs agréés mettent en place le réseau privé virtuel VPN, un tuyau archicrypté, aussi sécuritaire que le HTTPS utilisé pour les connexions bancaires. » Il s’agit à présent, pour les entreprises et les particuliers, de choisir un professionnel certifié CNPP ou SVDI / Bureau Veritas. Un thème abordé lors des troisièmes universités de la sécurité qui se déroulent à Lyon les 4 et 5 décembre.
Caroline Albenois
Commentez