Les systèmes de vidéosurveillance et l’IoT : protocoles et vulnérabilités – Partie 1/2

La vidéosurveillance est censée être un atout de sécurité du côté des honnêtes gens. Malheureusement, la propre sécurité de ces systèmes est parfois défaillante au point qu’ils se retournent contre leurs propriétaires. C’est ainsi que naissent des botnets de caméras connectées, ou la crainte légitime qu’un inconnu puisse vous surveiller avec votre propre matériel. CCTV, puis virage IP et Internet et finalement explosion de l’Internet of Things (IoT), chaque génération de vidéosurveillance comporte son lot de calamités. Passons en revue cette chronologie du pire.

1. Premières prises de vues

La genèse de la vidéosurveillance a lieu après la Deuxième Guerre mondiale, principalement à vocation militaire ou gouvernementale. Ces premiers systèmes n’offrent pas de possibilité d’enregistrement, un opérateur doit être constamment en poste derrière les moniteurs.

Puis, à partir du milieu des années 70, le développement de supports vidéos comme les cassettes permet d’enregistrer et détruire à volonté les images. La vidéosurveillance se « démocratise », et envahit les espaces publics et les grandes entreprises.

Les systèmes de vidéosurveillance analogique se basaient alors sur un ensemble de câbles, de type câbles coaxiaux, transmettant le signal analogique et reliés à un centre de contrôle doté de moniteurs ou d’enregistreurs. On parle alors de circuit fermé ou de Closed-Circuit TV (CCTV), la diffusion restant interne.

La plupart des attaques possibles requièrent un accès physique et permettent de couper, dupliquer ou remplacer le signal vidéo transitant sur les câbles. D’autre part, des attaques plus complexes à base de perturbations électromagnétiques peuvent permettre de brouiller le signal sans phase destructive. Dans un domaine similaire, l’écoute passive d’émissions de type [TEMPEST] (ce qui recouvre bien sûr les émanations électromagnétiques, mais aussi mécaniques ou acoustiques) peut permettre de reconstituer plus ou moins fidèlement les informations traitées à l’origine.

Faisant suite à l’essor des systèmes analogiques jusque dans les années 90, et avec la montée en puissance des réseaux informatiques et des technologies numériques, des systèmes de vidéosurveillance numériques ont vu le jour.

Une phase de transition a vu mixer les systèmes analogiques et numériques, puis petit à petit les caméras analogiques ont été remplacées par des caméras numériques IP permettant l’utilisation directe du réseau informatique pour la transmission des flux vidéos.

2. L’avènement de l’IP

Si l’usage qui est fait de la vidéosurveillance n’a fondamentalement pas changé, sa situation est désormais très différente. Les caméras fonctionnent désormais sur des réseaux aux multiples fonctionnalités : réseaux domestiques, d’entreprise, filaires ou sans fils, publics ou privés, etc.

Là où les caméras analogiques s’apparentaient à de simples sondes remontant de manière permanente un flux d’information à des équipements (enregistreurs, moniteurs) avec lesquels elles disposaient d’une connexion plus ou moins dédiée, les caméras IP s’intègrent au beau milieu de switches, routeurs, pare-feux, points d’accès wifi, connexions Internet personnelles ou professionnelles, lien sites à sites, serveurs et postes de travail, etc.

Par ailleurs, leur propre système est devenu plus complexe. La plupart des caméras IP disposent d’options de configuration relativement complexes, d’interfaces d’administration multiples (HTTP(S), SSH, Telnet, technos propriétaires), du support de multiples protocoles de diffusion vidéo. Il s’agit parfois même d’équipements constitués de plusieurs « sous-cartes » exécutant des systèmes d’exploitation différents et communicant entre elles. Par exemple, un système chargé de piloter la caméra et un système exécutant la partie services externes tels que streaming, Web ou SSH.

Elles s’apparentent donc désormais, de par leurs fonctionnalités et leurs moyens de communication, à beaucoup d’autres éléments du système d’information, et s’inscrivent donc dans les mêmes problématiques de sécurité : isolation des segments réseaux, gestion des correctifs, gestion de la configuration, réduction de la surface d’attaque, et bien plus encore.

2.1 Vulnérabilités classiques

Malheureusement, la sécurité de beaucoup de modèles semble avoir été quelque peu négligée. Les raisons peuvent être nombreuses : coûts, impératifs de time-to-market sur le marché de l’IoT, etc. Quelles qu’elles soient, le constat est là, et voici quelques vulnérabilités classiques des caméras IP :

  • flux vidéo ou d’administration en clair, avec tous les scénarios de Man-in-the-middle que cela implique ;
  • absence d’authentification ou défaut d’implémentation, sur la partie administration, ou sur la partie vidéo avec des protocoles tels que RTP ou RSTP lisibles à ce moment-là avec un simple lecteur vidéo supportant le streaming comme VLC, comme dans cet exemple : [EDIMAX] ;
  • mots de passe par défaut, souvent laissés tels quels par l’utilisateur ;
  • toutes sortes de vulnérabilités web classiques, dont les plus importantes permettront l’exécution de code ou de commandes systèmes, parfois pré-authentification.

À titre d’illustration, sur un ancien modèle Network Camera de chez Axis, le concept de cookie de session était inexistant. Ainsi, un utilisateur non authentifié connaissant l’adresse des autres pages, et notamment la page d’administration, pouvait accéder aux contrôles de la caméra.

Plus récemment, la caméra SmartCam de chez Samsung, a souffert d’un défaut d’implémentation de son applicatif web permettant d’initialiser de nouveau le mot de passe d’administration sans disposer de celui en cours [SAMSUNG]. Il était en effet possible de refaire appel à la page permettant la première initialisation, simplement de la manière suivante :

2.2 Backdoors et autres joyeusetés

Outre des vulnérabilités dont on peut espérer qu’elles ne sont pas introduites volontairement, il arrive de tomber sur ce qui ressemble fort à des portes dérobées ménagées intentionnellement par le fabricant d’une caméra [SECCON]. D’autre fois, il peut s’agir d’un accès Telnet laissé pour des besoins de debug [VICON], ou des classiques mots de passe « en dur » que le fabricant ne semble pas souhaiter supprimer [IZON].

Outre les vulnérabilités exploitables depuis un sous-réseau commun, de nombreuses caméras sont de plus rendues disponibles sur Internet, plus ou moins volontairement, par leurs utilisateurs.

L’UPnP, qui permet à un équipement de demander à son routeur la mise en place d’une redirection de ports depuis l’interface publique, représente les premières tentatives de contourner automatiquement les limitations mises en place par le NAT, perçues comme un frein au bon fonctionnement de la vidéosurveillance connectée. Celui-ci assure pourtant une certaine sécurité et réduit l’exposition des équipements internes vis-à-vis de réseaux non sûrs comme Internet.

Une simple requête sur le moteur de recherche Shodan permet de prendre conscience du nombre de caméras non sécurisées accessibles sur Internet, comme le montre la figure 1.

Fig. 1 : Un modèle identifié comme exploitable à distance par un chercheur en sécurité. Plus de 200.000 résultats sur Shodan.


Abordons maintenant le cœur du sujet,
i.e. comment les nouveautés de l’ère de l’IoT ont apporté de nouvelles pratiques et innovations technologiques, et donc leur lot de vulnérabilités associées.

3. Le virage de l’IoT et la vidéosurveillance

L’apparition de l’IoT s’est accompagnée de nouveaux protocoles de communication, de la multiplication des infrastructures de type Cloud, la mise à disposition de System on Chip (SoCs) ou de kits de développement à la fois moins chers, plus puissants et riches de fonctionnalités.

Une maison connectée peut désormais ressembler à une salle serveur complète, mais sans le personnel en charge de l’administration et de la sécurité, avec les conséquences que l’on peut imaginer.

Cette « massification » des objets connectés concerne également la vidéosurveillance. On trouve ainsi des caméras seules ou intégrées à des offres domotiques à visée grand public, des babyphones ou autres systèmes de surveillance de nounous, etc. La vidéosurveillance n’est donc plus réservée aux entreprises, aux services publics ou aux détenteurs de patrimoines importants.

Une autre tendance est la multiplication des moyens de connexion et l’envoi des données dans le cloud. La vidéosurveillance n’a bien sûr pas été épargnée, et il est fréquent qu’un de ces systèmes déporte ses options de configuration ainsi que ses flux vidéos sur les serveurs de l’éditeur, auquel l’utilisateur pourra accéder depuis n’importe quel endroit du monde au moyen d’un navigateur web ou d’une application mobile. Fort pratique, convenons-en.

Voici quelques cas observés par Digital Security lors d’audits de vidéosurveillance connectée ou vus dans l’actualité, qui permettront d’aborder un certain nombre de technologies et vulnérabilités courantes de ces systèmes.

Nha-Khanh NGUYEN (@N1aKan),
Romain CASTEL (@Berenseke),
Florent POULAIN
Auditeurs sécurité, Digital Security

La seconde partie de cet article sera publiée prochainement sur le blog, restez connectés 😉

Retrouvez cet article (et bien d’autres) dans MISC n°91, disponible sur la boutique et sur la plateforme de lecture en ligne Connect !