Des pirates ont infiltré 150 000 caméras de vidéosurveillance

Caméras
L’attaque montre que le fabriquant de caméras Verkada peut lui aussi visionner tous les enregistrements vidéo effectués chez le client. (Source : IMAGO / Alexander Limbach)

D’après un reportage, des pirates ont infiltré 150 000 caméras de surveillance d’une entreprise américaine : sont concernés entre autres des hôpitaux, des prisons, des écoles, des commissariats de police ainsi que des entreprises comme le producteur de voitures électriques Tesla et la société de sécurité informatique Cloudflare, comme l’a rapporté l’agence de presse Bloomberg mardi dernier.

Les intrus ont ainsi diffusé des images du site de Tesla à Shanghai. L’entreprise californienne Verkada, d’où proviennent les caméras, a déclaré à Bloomberg dans un premier temps que « l’ampleur du potentiel problème » serait examinée. Les clients ont été informés de l’incident. Depuis, l’accès a été refermé.

Aucun piratage nécessaire

Il arrive régulièrement que des enregistrements provenant de caméras de surveillance (en allemand) soient interceptés. Dans le cas présent, les pirates avaient trouvé les identifiants d’un compte administrateur avec des droits d’accès élargis qui étaient disponibles publiquement sur Internet. En tant que « super admin », ils ont ainsi pu infiltrer un grand nombre de caméras.

Le compte administrateur provenait du fabriquant de caméras lui-même. Ce qui signifie cependant qu’en temps normal, Verkada a également un accès complet à toutes les images de ces caméras sans que les clients ne s’en aperçoivent.

D’après Bloomberg, un « collectif international de hackers » a mené ce cambriolage numérique. Avec cette action, les membres du collectif souhaitent démontrer à quel point la vidéosurveillance est répandue et combien il est facile de s’introduire dans les systèmes. L’un des membres a déclaré à Bloomberg : « ce piratage révèle simplement l’ampleur de la surveillance dont nous faisons l’objet et le peu d’attention accordé à la sécurisation des plateformes, alors que seul le profit est recherché. »

Une intrusion d’ampleur

Les pirates ont présenté à Bloomberg des enregistrements d’un commissariat de l’État fédéral américain du Massachusetts, d’une prison en Alabama et d’un hôpital en Floride. Dans une vidéo provenant de l’hôpital Halifax Health en Floride, on peut voir comment huit employés de l’hôpital s’en sont pris à un homme et l’ont attaché à un lit. Une autre vidéo enregistrée dans un hangar Tesla à Shanghai montre des employés devant une chaîne de montage.

Dans une prison, les intrus ont réussi à infiltrer 330 caméras. Chez Tesla, il s’agit de 222 caméras. Ils auraient également accédé aux archives vidéo des clients Verkada. Même les experts sont étonnés du fait que l’accès aux enregistrements de vidéos internes ne soit pas réservé exclusivement aux utilisateurs. « Si vous êtes une entreprise qui a acheté ce réseau de caméras et les installe à des endroits sensibles, vous ne vous attendez peut-être pas au fait qu’en plus de la surveillance par votre équipe de sécurité, un administrateur du fabriquant de caméras vous regarde aussi » , a déclaré à Bloomberg Eva Galperin, directrice de la cybersécurité pour la Electronic Frontier Foundation (EFF).

Reconnaissance faciale

Voilà ce qui rend ce cas encore plus délicat : le système de caméras de Verkada est équipé de la reconnaissance faciale automatique et d’une fonction intitulée « People Analytics ». Ainsi, les clients peuvent automatiquement chercher et filtrer des personnes en fonction « de nombreux attributs différents, y compris des caractéristiques relatives au sexe, à la couleur des habits ou même au visage d’une personne », comme il est écrit dans un article de blog de Verkada.

Le système peut par exemple prévenir lorsqu’une personne donnée apparaît dans l’angle de vue des caméras. Lors de la pandémie de la Covid-19, l’entreprise a introduit une fonction qui déclenche une alarme lorsqu’un nombre de personnes supérieur à un seuil autorisé se rassemble à un endroit. Le système lit également les plaques d’immatriculation des véhicules. (dpa / hcz)