La vidéosurveillance présente-t-elle un risque pour le public en cas de cyberattaque?

La menace des technologies de surveillance non sécurisées?

Les résultats de l’étude ont été présentés pour la première fois lors de DefCon 2014.
Ce travail a été réalisé dans le cadre de l’aide apportée par Kaspersky Lab à l’initiative Securing Smart Cities, un projet à but non lucratif qui vise à trouver des solutions aux problèmes de cybersécurité d’aujourd’hui et de demain auxquels devront faire face les villes intelligentes. Ce projet repose sur la coopération entre le secteur privé, le secteur public, les médias, des organisations à but non lucratifs et des individus à travers le monde entier.

Thomas Kinsey, de chez Exigent Systems Inc., a contribué à ce rapport.

Un jour, un collègue et moi-même, de sortie pour passer la soirée dans le centre de la ville, avons décidé de monter sur une fontaine publique. Tout à coup, nous avons entendu une voix impersonnelle qui disait : « VEUILLEZ DESCENDRE DE LA FONTAINE. » Toujours sous le choc, nous avons vu plusieurs caméras avec haut-parleurs qui nous observaient du haut de plusieurs lampadaires. Nous ne nous étions jamais senti tant observé et c’est de là qu’est née l’idée d’étudier le fonctionnement du système.

L’utilisation de la vidéosurveillance adoptée par la police et les autorités pour surveiller les lieux publics dans lesquels nous évoluons ne date pas d’hier. Aujourd’hui, la majeure partie d’entre-nous accepte ces pratiques comme un compromis juste dans le cadre duquel nous sacrifions un peu de notre vie privée dans l’espoir que cela nous protègera des criminels et des terroristes. Toutefois, nous nous attendons également à ce que nos données privées, dans le cas qui nous occupe, les vidéos de notre vie en public, soient traitées de manière responsable et sûre afin que cette surveillance ne cause pas plus de mal que de bien.

Dans le cadre de notre étude récente, nous avons constaté que de nombreuses autorités municipales utilisent des technologies sans fil au sein de leur infrastructure de vidéosurveillance au lieu des solutions câblées qui étaient fréquentes par le passé. Le passage à la technologie sans fil rend les projets de vidéosurveillance plus rentable.

Malheureusement, le fait est que les technologies sans fil d’aujourd’hui ne sont pas aussi sécurisées qu’elles le devraient. En tant que personnes sensibles aux questions de sécurité, nous avons tout de suite compris que la manipulation des données de cette manière était vulnérable à toute une série d’attaques et nous avons donc commencé à analyser la situation afin de voir si la mise en place actuelle de ces systèmes garantissait la sécurité de nos données ou si ces données pouvaient être facilement détournées à des fins malveillantes.

S’il est vrai que la technologie sans fil en elle-même est vulnérable, il existe de nombreuses améliorations qui peuvent être introduites afin d’offrir un niveau de sécurité suffisant. Dans un monde parfait, un tel système devrait disposer de plusieurs niveaux de sécurité afin de compliquer la tâche des pirates éventuels qui parviendrait à franchir le premier niveau de défense. Ce n’était pas le cas ici.

Recherche

Nos recherches ont commencé au niveau physique : nous nous sommes rendus dans plusieurs quartiers de la ville afin d’analyser l’installation du matériel et d’identifier les premiers éléments qui démontraient que les autorités municipales n’avaient pas vraiment fourni de gros efforts dans la mise en œuvre adéquate de leur propre système.

Comme le montre l’illustration, la mise en place du système de sécurité avait été bâclée. Les dispositifs chargés de transporter nos données n’ont absolument pas été masqués ; dans certains cas, nous avons pu lire sans aucun problème le nom et le modèle du matériel afin d’identifier les appareils et de lancer nos recherches.

Pourquoi est-il important de protéger les étiquettes du matériel employé ? Laissez-moi vous donner un exemple qui mettra en évidence la gravité du problème. Si vous possédez un serveur à protéger, un des éléments essentiels pour éviter l’exploitation du serveur est de ne pas divulguer le code binaire du serveur. La raison est simple : si un chercheur met la main sur le code binaire, il peut réaliser une ingénierie inverse et analyser le code afin d’identifier les bogues et les vulnérabilités. Les vulnérabilités sont rarement découvertes sans une analyse du code qui met le service en œuvre. Voilà pourquoi la non-dissimulation des étiquettes d’un appareil peut avoir un impact significatif, même s’il s’agit d’une erreur minime à première vue.

Revenons au réseau de caméras : si un pirate parvient à déjouer la sécurité du réseau sans fil de ces systèmes (qui utilisent une protection sans fil WEP ou WPA traditionnelle), il aura uniquement accès à des protocoles, des en-têtes et des paquets sans fil inconnus et sans référence au système auquel ils appartiennent. Dans le cadre de notre enquête, nous n’avions aucune idée au départ du logiciel qui générait ces paquets car il s’agissait d’un système exclusif. Sans accès au code, il aurait été pratiquement impossible d’inverser le protocole utilisé, ce qui constitue la seule manière d’examiner correctement un réseau. A ce stade, nous savions ce qu’il nous restait à faire.

Après avoir obtenu le matériel, nous nous sommes rendus compte que la configuration choisie par la police était faible. Le problème ne se situait pas du tout au niveau du matériel choisi. Les nœuds du maillage étaient très complexes et la solution était très bien pensée. Elle contenait des modules capables de sécuriser les communications au-delà de la sécurité sans fil. Il aurait suffit d’une personne dotée des connaissances suffisantes pour mettre cette technologie en œuvre et veiller à sa configuration adéquate. Malheureusement, après avoir analysé plusieurs paquets, nous avons vite compris que ces modules de chiffrement n’avaient pas été configurés et qu’ils n’étaient pas du tout mis en œuvre. Les données textuelles étaient envoyées en clair sur le réseau, accessible à toute personne capable de s’y connecter. Il n’y avait aucun chiffrement à déjouer. Nous savions dès lors qu’il suffisait de recréer notre propre version du logiciel afin de pouvoir manipuler les données qui transitaient.

Afin de mieux comprendre ce que nous avions appris pour pouvoir manipuler le système, voici une brève explication du fonctionnement d’un réseau maillé pour transporter les flux vidéo. Dans un réseau Wi-Fi traditionnel, chaque périphérique est généralement connecté à un routeur qui fait office de point central. Pour pouvoir envoyer un élément de données vers une autre partie du réseau, il suffit de l’envoyer à cette adresse et les données arriveront au périphérique connecté en passant par le routeur. Ceci fonctionne bien lorsque les distances sont courtes. Toutefois, pour organiser les communications sur une longue distance, le réseau de caméras avait adopté une topologie et un protocole que nous ne dévoilerons pas dans cet article.

Topologie traditionnelle d’un réseau sans fil domestique. Un client peut être n’importe quel périphérique connecté à Internet

Un attaquant indique à l’utilisateur qu’il est le routeur et indique au routeur qu’il est l’utilisateur, ce qui lui permet d’intercepter le trafic avec le serveur Web

En général, l’utilisation d’un réseau sans fil quelconque, par exemple un réseau domestique, permet à toute personne connectée de réaliser une attaque de l’homme du milieu à l’aide de méthode telle que l’empoisonnement ARP. L’utilisateur peut ainsi modifier n’importe quelle donnée envoyée au routeur ou transmise par celui-ci. Vu la nature du logiciel maillé, cette méthode standard ne serait pas d’une très grande valeur si elle était mise en œuvre dans sa forme standard. Chaque nœud au sein d’un réseau maillé ne peut avoir qu’une ligne de vue directe sur quelques-uns des nombreux nœuds qui composent le réseau. Afin d’arriver à un périphérique qui n’est pas directement visible, le paquet doit voyager depuis le point d’origine via plusieurs autres nœuds jusqu’au nœud de destination. Le fabricant du matériel met en œuvre un algorithme de recherche de chemin afin de transporter les données de la manière la plus efficace possible et de trouver le chemin le plus fiable jusque la destination. L’algorithme ressemble beaucoup à celui utilisé dans les jeux vidéos pour définir le chemin suivi par un personnage pour arriver à sa destination en évitant les obstructions.

L’algorithme de recherche de chemin identifie le parcours que les personnages doivent suivre sur la base de variables comme la difficulté du terrain

L’algorithme de recherche de chemin utilisé par les caméras repose sur une série de variables, mais l’élément le plus important est la force du signal entre un nœud et le suivant et le nombre de nœuds franchis avant d’atteindre la destination.

Le paquet quitte le Nœud A et passe via B et C avant d’arriver à sa destination (le commissariat de police simulé). De leur côté, tous les autres nœuds suivent un chemin totalement différent, ce qui rend impossible l’interception en un seul point

C’est précisément cette caractéristique que nous avons exploitée à notre avantage. En mentant aux autres nœuds, en leur faisant croire que nous avions une ligne directe jusqu’au commissariat simulé et en nous comportant comme un nœud en transférant les paquets, les caméras installées à proximité ont commencé à nous envoyer directement leurs paquets à cause de la mise en œuvre de A*. Une telle configuration permet d’envisager un scénario pour une attaque d’homme du milieu classique, mais sur un très grand nombre de flux vidéo. Pour poursuivre l’analogie avec le jeu STR ci-dessus, ce serait comme si nous avions construit un pont pour traverser un lac et qui pourrait être emprunté par tous les personnages, au lieu de suivre les berges.

Quelles sont les conséquences?

Nous ne sommes pas des pirates. Nous voulions seulement présenter une preuve de faisabilité afin de démontrer que ce genre d’attaque était possible. Nous voulions alerter les autorités sur l’existence d’une vulnérabilité et leur présenter un point faible du système qui doit être éliminé. Pour ces différentes raisons, nous avons organisés nos recherches dans un environnement privé qui imitait les systèmes utilisés par la police. Nous n’avons jamais interféré avec le réseau réel utilisé par la police.

Comme on le voit souvent dans les films hollywoodiens, si un pirate animé de mauvaises intentions exploitait à son avantage les problèmes que nous avons mis en évidence, cela laisserait la porte ouverte à plusieurs scénarios dangereux. Dès lors qu’il est possible de lancer une attaque de l’homme du milieu contre des données vidéo, il n’en faut pas beaucoup pour replacer les images en temps réel par des images préenregistrées. Dans ce genre de scénario, une bande de cybercriminels pourrait amener la police à croire qu’un délit a lieu dans un quartier éloigné de la ville et attendre que les patrouilles soient envoyées sur les lieux de ce délit. Cette bande aurait alors la possibilité de perpétrer un crime dans une autre partie de la ville, privée de policiers. Cet exemple n’est qu’un parmi une multitude d’exemples d’utilisation malicieuse de ces systèmes qui permettrait à un individu de commettre des crimes de manière plus efficace. Malheureusement, la réalité est très proche de la fiction. Nous avons été en mesure de reproduire une telle utilisation dans notre laboratoire.

Nous accordons notre confiance aux autorités lorsqu’il s’agit de l’accès à nos données privées, mais si ces mêmes autorités n’accordent pas le temps et les ressources nécessaires au traitement responsable de ces données, il serait préférable de ne pas utiliser du tout cette technologie. Heureusement, une fois alertées, les municipalités concernées ont exprimé leurs préoccupations et ont adopté les mesures nécessaires pour améliorer la sécurité.

La triste vérité est que de nos jours, tout est connecté. Quand une nouvelle technologie est mise en œuvre pour moderniser une technologie plus ancienne, il faut s’attendre à l’apparition de nouvelles vulnérabilités. Outre les systèmes de vidéosurveillance que nous avons analysés aujourd’hui, il existe beaucoup d’autres systèmes qui sont et qui seront vulnérables à différentes attaques. Les « gentils » doivent tester la sécurité d’un système avant que les « méchants » n’aient le temps d’exploiter d’éventuelles vulnérabilités au sein de celui-ci. Notre tâche consiste à poursuivre cet effort et à veiller à la sécurité du monde dans lequel nous évoluons.

Conclusions

Afin de conférer un niveau de sécurité acceptable à un réseau maillé, il convient de tenir compte des recommandations suivantes :

  • Bien qu’il puisse potentiellement être piraté, le protocole WPA associé à l’utilisation d’un mot de passe robuste est une condition minimum à remplir pour éviter que le système ne devienne une proie facile.
  • Le masquage de la SSID et le filtrage MAC permettront également de décourager les pirates débutants.
  • Veillez à dissimuler toutes les étiquettes sur tout les périphériques afin de compliquer la tâche des attaquants qui ne disposent pas de complices à l’intérieur.
  • La sécurisation des données vidéo par le biais de l’utilisation d’un chiffrement à clé publique rendra la manipulation des données vidéo plus ou moins impossible.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *