Analyse

Caméra sur IP : On vous regarde ... à votre insu !

Le 22 avril 2013 par Portail de l'IE
©http://www.google.com/imgres?imgurl=http://www.networkworld.com/community/files/user13712/___Hours_of_voyeurism__peeping_Tom_paradise_.jpg&imgrefurl=http://www.networkworld.com/community/blog/unpatched-trendnet-ip-cameras-still-provide-real-time-peeping-tom-paradise&h=302&w=560&sz=38&tbnid=H-JAM3Si9DfeRM:&tbnh=71&tbnw=132&prev=/search%3Fq%3Dtrendnet%2Bmap%26tbm%3Disch%26tbo%3Du&zoom=1&q=trendnet+map&usg=__nYOOwCLzMydAxE3NQFbh4tAx_mo=&docid=epJQk9otyKA5jM&sa=X&ei=tOd0Ub_nC-Xy7Abg5IDoCQ&ved=0CFcQ9QEwAg&dur=5

Aujourd'hui en France, la vidéo surveillance s'est généralisée, à tel point que les professionnels reconnaissent installer de 25 000 à 30 000 systèmes de vidéo surveillance par année.

Ces appareils, installés à des fins de surveillance, pourraient bien se retourner contre vous. En effet, les couches matérielles et logicielles de ces systèmes de télésurveillance possèdent de grandes similitudes d'un constructeur à l'autre et le plus souvent les mêmes failles de sécurité. De plus, les utilisateurs sont encore trop nombreux à ne pas sécuriser correctement leur login et mot de passe, laissant très souvent des combinaisons du type admin/admin.

Ainsi, il y a de cela quelques mois, une faille sur les systèmes de télésurveillance de la société Trendnet avait été mise à jour. Les failles dans les protocoles de sécurité des systèmes de la société permettent à quiconque de se connecter à ces caméras, disposant toutes d'une adresse IP. La faille a donnée lieu à l'édition d'une carte mondiale de ces caméras accessibles, depuis censurée par Google. La fermeture de cette carte, et les légers remous médiatiques ont entrainé une mise à jour de la part de TrendNet, que ses utilisateurs se doivent d'installer pour ne plus subir ce désagrément qu'est l'exposition totale des flux vidéo sur la toile. 

Plusieurs mois après les faits, force est de constater que la situation n'a guère évolué, bien au contraire. Bien que la carte regroupant l'ensemble des caméra accessible soit toujours fermée (http://cams.hhba.info), les adresses des dites caméras sont toujours en circulation sur la toile et trop peu d'utilisateurs ont fait les mises à jour nécessaires. De nombreuses listes sont accessibles facilement, avec des classements par pays. Ainsi, la caméra de surveillance de votre open space au bureau, de votre hall d'entrée, de votre coiffeur ou magasin préféré sont parfois encore totalement ouvertes... ou celle de votre garage, de votre salon voire la caméra installée dans la chambre de bébé pour que maman vérifie que son petit va bien depuis son smartphone.

Un certain nombre de listing de ces engins non sécurisés sont disponibles sur la toile, en toute légalité. Ainsi, hodanhq.com propose les IP de ces caméras par pays. Le simple ajout après l'adresse IP donnée dans le listing dans votre barre URL de /anony/mjpg.cgi vous permettra de passez outre toute demande d'identification. A titre d'exemple, on peut prendre le cas d'un lavomatic de région parisienne, (si vous n'accédez pas au flux vidéo, recharger la page, vous obtiendrez une photo prise par la caméra à chaque rechargement de la page, cela varie en fonction des navigateurs, de vos mises à jours de ces derniers et de votre vitesse de connexion). Le fil twitter @TRENDnetExposed, à l'origine de l'édition de la carte fermée depuis par google, propose régulièrement les IP des caméras non sécurisées à des fins de sensibilisation. Si vous ne parvenez pas à vous connecter, cela veut dire soit que l'utilisateur a (enfin) sécurisé sa caméra, soit que cette dernière est hors ligne pour le moment.

Si cela peut prêter à sourire et que l'accès à la caméra du lavomatic du quartier vous permettra d'éviter de vous y rendre lorsque celui-ci est bondé, notons que tous le monde n'a pas la même bienveillance. L'accès à ces caméras, notamment celles située au dessus des caisses de nombreux magasins ou sur les parking d'entreprises sont à même de fournir de précieux renseignements à toute personne mal intentionnée, capable de faire désormais du repérage ou du renseignement depuis le wifi du Macdonald ou du Starbuck du coin de la rue, anonymement... ou de vérifier que sa compagne est effectivement au salon de manucure.

Ainsi, avant de vous prendre pour big brother dans votre maison ou bureau et d'y surveiller les allers et venues, demandez vous qui vous surveille. 

Hubert Eveillard