Le point sur la cybersécurité des systèmes de vidéosurveillance – Partie 2/2

Les protocoles utilisés pour les flux multimédias varient quant à eux largement en fonction de la situation. L’audio et la vidéo sont habituellement transportés à l’aide du protocole RTP, cependant le choix du protocole au niveau de la couche transport du modèle OSI varie. En effet, on préfère l’utilisation du protocole UDP pour transporter la vidéo en temps réel afin de ne pas introduire de latence et l’utilisation du protocole TCP lors du visionnement de la vidéo en différé lorsque l’intégrité du contenu prime. L’utilisation du multicast dans les réseaux IP est répandue lorsque que la caméra et la partie cliente du VMS sont sur le même réseau local : le flux vidéo peut ainsi être acheminé directement de la caméra à l’un ou plusieurs clients sans être retransmis par la partie serveur du VMS.

Les composants d’un VMS sont habituellement distribués sur plusieurs machines différentes et reliés entre eux par un réseau IP passant parfois au travers d’Internet. Les composantes internes d’un VMS utilisent typiquement une combinaison de protocoles propriétaires et de protocoles standards.

5. L’aspect cybersécurité

Étonnement, l’aspect cybersécurité de l’industrie de la sécurité physique est un peu à la traîne par rapport à certaines autres industries. Pendant plusieurs années, les manufacturiers ont présumé que leurs produits étaient utilisés dans des réseaux IP fermés et donc peu d’efforts ont été investis pour les rendre résilients contre des acteurs malveillants. Aujourd’hui, cette présomption n’est plus applicable. Une ville intelligente voudra par exemple installer ses caméras dans des endroits publics et les relier par Wifi à son VMS. Certains manufacturiers de VMS offrent aussi des produits où les caméras sont directement reliées à un cloud et où les vidéos sont consultables en ligne.

En ce sens, l’année 2016 tira certainement la sonnette d’alarme sur les lacunes en cybersécurité de certaines caméras suite à l’attaque très médiatisée du botnet Mirai. En asservissant une armée de caméras IP dont les mots de passe par défaut n’avaient pas été changés ; ce dernier déclencha, contre le site web du journaliste américain Brian Krebs [5], la plus grosse attaque par déni de service jamais observée à cette époque.

Pour expliquer la situation, il importe ici de faire la distinction entre les produits de vidéosurveillance grand public et ceux destinés aux professionnels. À notre sens, la source principale de l’insécurité des produits grands publics vient du fait que le marché est très compétitif et que les fabricants cherchent à dépasser les autres constructeurs sur les fonctionnalités, la vitesse de mise en marché et le prix de leurs produits. La cybersécurité s’en trouve amoindrie, car elle est plutôt contraire à ces objectifs. Respectivement : l’ajout de fonctionnalités augmente la surface d’attaque d’un produit, la réduction des risques liés à la cybersécurité nécessite l’ajout d’activités de validation à chacune des étapes du cycle de développement s’opposant ainsi à une augmentation de la vitesse de mise en marché. L’ajout de ces activités de sécurité tire vers le haut le coût de développement des produits faisant ainsi pression sur la marge de profit et ultimement le prix du produit. À cela vient s’ajouter la difficulté de mettre à jour un firmware d’un produit peu dispendieux utilisé chez un client et l’indifférence de ces derniers quant au fait que leur équipement peut être utilisé avec des dizaines voire des centaines de milliers d’autres pour attaquer un site web.

La situation est un peu différente pour les produits haut de gamme destinés aux entreprises ou aux forces de l’ordre. Dans ces cas-ci, la pression sur les prix ou la vitesse de mise en marché n’est plus un facteur majeur. Par contre, les systèmes sont souvent complexes. Plusieurs installateurs de systèmes de vidéosurveillance sont des vétérans du monde analogique et ne sont pas nécessairement parfaitement confortables avec tous les concepts associés aux technologies de l’information. Cela est d’autant plus vrai pour l’aspect cybersécurité de ces systèmes. Les fonctionnalités de sécurisation sont donc souvent présentes, mais ne sont pas nécessairement bien configurées ou utilisées.

Certaines contraintes rendent l’application des bonnes mesures de cybersécurité du monde des technologies de l’information difficiles à appliquer au monde de la vidéosurveillance. Le fait que la grande majorité des systèmes de vidéosurveillance fonctionne en circuit fermé sans accès à l’Internet rend plus difficilement applicable l’utilisation de certificats X.509 par exemple. Comment établir un lien TLS entre un VMS et une caméra si ceux-ci ne peuvent pas s’appuyer sur une tierce partie de confiance afin de valider l’identité de l’un et l’autre ? Cette fonction est naturellement remplie par les autorités de certification sur Internet, mais elle ne fonctionne pas facilement sans un lien vers l’extérieur.  Une autre solution pourrait être de s’appuyer sur un secret connu par les 2 parties, mais le fait que le fabricant de la caméra et le fabricant du VMS ne sont pas nécessairement le même, rend cette solution non triviale à implémenter. Dans la pratique, l’usage de protocoles sécurités TLS et HTTPS pour protéger les données en transit est offert depuis longtemps par les fabricants, mais est généralement peu utilisé de par la complexité à déployer les solutions et l’expertise requise pour le faire.

Les choses changent dans le monde de la vidéosurveillance. Les attaques médiatisées des derniers mois ont augmenté la prise de conscience des clients et les manufacturiers ont réagi en renforçant leurs produits face aux cyberattaques. Ceux-ci offrent de nouvelles fonctionnalités renforçant la confidentialité, l’intégrité ou la disponibilité des données. Certains fabricants offrent par exemple maintenant la possibilité d’assurer la confidentialité des données vidéo non seulement par l’utilisation du protocole TLS en transit, mais aussi en chiffrant les archives vidéos lorsqu’elles sont sauvegardées sur le disque.

6. Comment se protéger au niveau des caméras

Aucun manufacturier ne peut garantir que ses produits sont exempts de vulnérabilités. Cela ne veut pas dire que tous les manufacturiers sont égaux. Afin de comprendre cette nuance, il est utile ici d’introduire la notion de risque. La définition d’un risque est la probabilité qu’une menace se concrétise multipliée par l’impact que celle-ci aurait si jamais elle se concrétisait. Le but d’un utilisateur est donc de réduire son risque au maximum.

La première étape pour un consommateur soucieux de la cybersécurité des caméras qu’il prévoit se procurer consiste à bien choisir son produit [6]. Il doit bien faire ses devoirs, car il existe de grandes disparités entre les manufacturiers de caméras au niveau de la cybersécurité. Certains travaillent activement sur le sujet tandis que d’autres s’en soucient peu.

Il peut être difficile pour un consommateur de déterminer le niveau de maturité d’un fabricant [7] à cet égard. À moins d’être en position d’évaluer son processus de développement de produit, un consommateur doit habituellement mesurer le niveau de cybermaturité d’un fabricant de façon indirecte. La présence des indices suivants est un bon indicateur : le fabricant devrait avoir une page traitant de la sécurité de ses produits sur son site web, cette page devrait inclure une politique publique expliquant aux chercheurs en sécurité comment lui rapporter des vulnérabilités découvertes dans ses produits, elle pourrait aussi inclure une liste de vulnérabilités découvertes par les chercheurs. L’existence d’un guide de configurations de produits spécifiquement créé pour la cybersécurité (appelé « hardening guide » en anglais) est aussi un bon indice. Enfin, plusieurs standards relatifs à la cybersécurité encadrant le processus de développement de produits existent actuellement. L’adhésion ou la conformité par le manufacturier à l’un de ces standards est un autre bon signe. Des exemples de standards pertinents incluent : la suite de standard ISO 27000, le standard ISO 15408 aussi appelé « common criteria », la série de standards UL 2900 de l’organisme américain Underwriters Laboratories et le cadre de cybersécurité développé par l’organisme de standardisation américain NIST.  Ces indices serviront donc à guider le choix du consommateur quant au manufacturier à choisir, car ils l’aident à déterminer le risque associé à chacun des fabricants.

Une fois le choix du matériel effectué, l’étape suivante consiste à configurer la caméra correctement [8]. Pour ce faire, il est approprié d’utiliser les fonctionnalités offertes par le fabricant. La plupart des fabricants de caméras offrent des guides de configurations de produits spécifiquement créés pour la cybersécurité. Ces guides contiennent des recommandations quant aux paramètres à modifier afin de réduire la surface d’attaque le plus possible. Les paramètres les plus importants à modifier sont dans l’ordre : remplacer le mot de passe par défaut par un mot de passe long, unique et aléatoire ; effectuer une mise à jour du firmware des caméras ; configurer les caméras pour qu’elles utilisent le protocole HTTPS pour toutes leurs communications et désactiver les fonctionnalités non utilisées. Si cela n’est pas nécessaire, il est recommandé de ne pas exposer les caméras directement sur Internet. La configuration des caméras étant l’un des rôles normalement assurés par le VMS, il serait normal de s’attendre à ce que ce dernier optimise aussi l’aspect cybersécurité de leur configuration. Malheureusement, il n’en est rien actuellement. Cela représente sans doute un aspect que les VMS amélioreront dans le futur.

Au niveau sécurité, il est utile de se représenter une caméra non pas comme un système embarqué spécialisé, mais simplement comme un ordinateur doté d’une lentille optique et envoyant des paquets sur un réseau IP. C’est avec cette idée en tête qu’un pirate tentera d’attaquer une caméra. En fait, il est possible que le pirate n’ait même pas conscience que l’appareil auquel il envoie des paquets soit en fait une caméra. En conséquence : il convient pour protéger une caméra d’appliquer les mêmes pratiques en matière de défense des systèmes de technologie de l’information que pour n’importe quel autre nœud réseau. Cela inclut sans se limiter : connecter la caméra à un segment réseau dédié à la vidéosurveillance, restreindre l’accès à ce segment seulement aux personnes ou systèmes ayant besoin d’interagir avec le système de vidéosurveillance et filtrer les ports et les paquets pouvant circuler sur segment.

7. Comment se protéger au niveau du VMS

Comme pour les caméras, le système de gestion vidéo doit être approché comme un ensemble de composants en réseau interagissant entre eux. Les mêmes recommandations, quant aux choix du manufacturier de VMS, quant à la façon de configurer le produit et quant aux bonnes pratiques en matière de systèmes TI à implémenter, s’appliquent. Les différences entre une caméra et un VMS de type professionnel résident dans le fait que les composants de ce dernier sont habituellement distribués sur plusieurs machines distinctes et donc que la surface d’attaque est plus grande. Cela est d’autant plus vrai que plusieurs utilisateurs différents utilisent habituellement un VMS par opposition à une caméra qui est exploitée exclusivement par un VMS. Les VMS ont aussi souvent un client mobile en plus d’une interface web et d’un client natif.

8. Comment auditer un réseau de vidéosurveillance

Les techniques traditionnellement utilisées pour auditer un système connecté à un réseau sont parfaitement appropriées pour auditer un système de vidéosurveillance. Celle-ci incluent : utiliser le renseignement d’origine source ouverte (OSINT ou « Open Source Intelligence » [9] en anglais) pour trouver des vulnérabilités connues, énumérer les mots de passe par défaut permettant ainsi d’exploiter des systèmes mal configurés, utiliser un scanner de vulnérabilités permettant d’automatiser la découverte de problèmes, utiliser la technique du fuzzing permettant de trouver des crashs mémoires potentiellement exploitables et effectuer des tests de pénétrations manuels permettant de trouver des failles de type 0-day.

Il en est de même pour la sécurité du périmètre contenant les différents éléments d’un système de vidéosurveillance. Elle pourrait être mise à l’épreuve par un audit réseau. On notera aussi que les faiblesses de certains protocoles et leurs mécanismes de validation comme le DNS ou le NTP peuvent affecter la sécurité du service de vidéosurveillance.

Références

[1] Article sur le standard H.264 : https://ipvm.com/reports/h264-makes-megapixel-go-mainstream
[2] Historiques de la vidéosurveillance : https://ipvm.com/reports/history-video-surveillance
[3] Pourquoi le marché s’est déjà tourné vers l’IP : https://ipvm.com/reports/the-market-has-tipped-to-ip
[4] Open Network Video Interface Forum : www.onvif.org
[5] krebsonsecurity.com/2017/01/who-is-anna-senpai-the-mirai-worm-author/
[6] Guide des camera HD analogues et IP 2017 (accès limité) : https://ipvm.com/reports/hd-analog-2015
[7] Comparatif des manufacturiers Cyber Security Compared : https://ipvm.com/reports/cyber-compare 
[8] Guide de sécurité des caméras (PDF) : https://ipvm.com/book
[9] Open Source Intelligence : en.wikipedia.org/wiki/Open-source_intelligence

Mathieu CHEVALIER
Architecte en cybersécurité – mathieu.chevalier@outlook.com

Cyrille AUBERGIER
Analyste en Cybersécurité – aubergier@yahoo.fr

Retrouvez cet article (et bien d’autres) dans MISC n°91, disponible sur la boutique et sur la plateforme de lecture en ligne Connect !