IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des hackers s'introduisent dans des milliers de caméras de sécurité de Verkada, exposant Tesla, prison, etc.,
Via un accès "Super Admin" dont les identifiants étaient exposés au public sur Internet

Le , par Stan Adkens

92PARTAGES

6  0 
Un groupe de hackers a déclaré avoir réussi à s'introduire dans une société de sécurité basée en Californie et à accéder à plus de 150 000 caméras de surveillance dans des prisons, des commissariats de police et des installations de Tesla. La brèche a permis au collectif de pirates de regarder à travers les lentilles du réseau de sécurité de Verkada, qui comprend des clients tels que des hôpitaux psychiatriques, des cliniques de santé pour femmes, et même l'école primaire de Sandy Hook. Un développeur nommé Tillie Kottmann, appartenant au groupe, s’est adressé à Reuters.

Parmi les entreprises dont les images ont été exposées figurent le constructeur automobile Tesla Inc. et le fournisseur de logiciels Cloudflare Inc. De plus, les pirates ont pu visionner des vidéos de l'intérieur des cliniques de santé pour femmes, des hôpitaux psychiatriques et des bureaux de Verkada lui-même. Certaines des caméras, y compris dans les hôpitaux, utilisent la technologie de reconnaissance faciale pour identifier et classer les personnes capturées sur les images. Les pirates informatiques disent avoir également accès à l'ensemble des archives vidéo de tous les clients de Verkada.


L’une des vidéos auxquelles les intrus ont eu accès montre des officiers dans un poste de police à Stoughton à Massachusetts, interrogeant un homme menotté. Les pirates informatiques disent avoir également eu accès aux caméras de sécurité de l'école primaire Sandy Hook à Newtown, Connecticut, où un homme armé a tué plus de 20 personnes en 2012.

Les hackers ont également eu accès à 330 caméras de sécurité à l'intérieur de la prison du comté de Madison à Huntsville, en Alabama. Les images partagées avec certains médias montrent que les caméras à l'intérieur de la prison, dont certaines sont cachées dans des évents, des thermostats et des défibrillateurs, suivent les détenus et le personnel correctionnel en utilisant la technologie de reconnaissance faciale. Les hackers disent avoir pu accéder à des flux en direct et à des vidéos archivées, parfois même à des fichiers audio, d'entretiens entre des policiers et des suspects, le tout dans la résolution haute définition 4K.

Selon Kottmann, l'un des membres du collectif international de hackers qui a piraté le système, le piratage visait à montrer à quel point les caméras de sécurité de l'entreprise sont courantes et à quel point elles peuvent être facilement piratées. Kottmann a aussi déclaré que leurs raisons de pirater sont « beaucoup de curiosité, la lutte pour la liberté d'information et contre la propriété intellectuelle, une énorme dose d'anticapitalisme et un soupçon d'anarchisme ».

Dans une déclaration, Verkada a reconnu une intrusion et un représentant de la société a commenté : « Nous avons désactivé tous les comptes des administrateurs internes pour empêcher tout accès non autorisé. Notre équipe de sécurité interne et notre société de sécurité externe enquêtent sur l'ampleur et la portée de ce problème potentiel ». La société a ajouté que le groupe a perdu l'accès aux flux en direct et aux archives de la société, en ajoutant que les clients de la société ont été prévenus et qu’une chaîne de communication dédiée est en place pour répondre à leurs questions.

Kottmann a déclaré que Verkada avait coupé leur accès quelques heures avant que le premier rapport sur l’attaque ne soit publié mardi. Il a partagé des captures d'écran sur Twitter, y compris une capture de l'intérieur d'un entrepôt de Tesla en Californie. « Vous vous êtes déjà demandé à quoi ressemble l’intérieur d’un entrepôt de Tesla ? », a tweeté mardi un compte baptisé « tillie crimew ».

La photo présumée de l’usine de Tesla

Le compte des hackers a aussi publié d’autres captures d’écran pour montrer qu’ils ont eu accès aux systèmes de surveillance informatique utilisés par plusieurs sites de la chaîne de salles de sport de luxe Equinox.

Un accès via un compte "Super Admin", avant d’avoir l'accès root aux caméras de Verkada

Le piratage était apparemment relativement simple : le groupe a réussi à obtenir un accès de niveau "Super Admin" au système de Verkada en utilisant un nom d'utilisateur et un mot de passe qu'ils ont trouvés exposés publiquement sur Internet. De là, ils ont pu accéder à l'ensemble du réseau de l'entreprise, y compris l'accès root aux caméras elles-mêmes, ce qui a permis au groupe d'accéder aux réseaux internes de certains clients de Verkada.

Le piratage « montre à quel point nous sommes surveillés, et combien peu de soin est mis à sécuriser les plateformes utilisées pour le faire, ne recherchant rien d'autre que le profit », a déclaré Kottmann. « C'est fou comme je peux voir les choses que nous avons toujours su qu'il se passait, mais que nous n'avons jamais pu voir ». Kottman a déclaré qu'ils ont obtenu l'accès au système de Verkada lundi matin. Il a refusé d'identifier les autres membres du groupe.

Le groupe de hackers, s'il avait choisi, aurait pu utiliser son contrôle sur l'équipement de la caméra pour accéder à d'autres parties des réseaux de la société Tesla et des fabricants de logiciels Cloudflare Inc et Okta Inc, selon Kottmann. Cloudflare a déclaré, selon Reuters, que ses mesures de sécurité sont conçues pour empêcher qu'une petite fuite ne se transforme en une intrusion plus importante, et qu'aucune donnée client n'a été affectée. Tesla et Okta n'ont pas répondu aux demandes de commentaires de l’agence de presse.

Verkada, fondé en 2016, est fier de proposer des caméras de sécurité connectées à Internet, promettant une "approche logicielle" de la Silicon Valley pour rendre la sécurité "aussi transparente et moderne que les organisations que nous protégeons". Les caméras connectées au Cloud comprennent une interface Web très pratique permettant aux entreprises de surveiller leurs flux et proposent également un logiciel de reconnaissance faciale (en option).

Verkada indique sur son site Web qu'il compte plus de 5200 clients, dont des villes, des collèges et des hôtels. Ses caméras se sont révélées populaires parce qu'elles s'associent à des logiciels permettant de rechercher des personnes ou des objets spécifiques. Les utilisateurs peuvent accéder aux flux à distance par le biais du Cloud. Dans une interview accordée à Reuters en 2018, le directeur général Filip Kaliszan a déclaré que Verkada avait délibérément facilité pour de nombreux utilisateurs d'une organisation la possibilité de regarder des flux vidéo en direct et de les partager en toute sécurité, par exemple avec les intervenants d'urgence.

En janvier 2020, la société a levé 80 millions de dollars de capital-risque, évaluant la société à 1,6 milliard de dollars. Parmi les investisseurs figurait Sequoia Capital, l'une des plus anciennes entreprises de la Silicon Valley.

La société a également été critiquée par le passé pour des accusations de sexisme et de discrimination après un incident survenu en 2019, au cours duquel des directeurs des ventes ont utilisé les caméras de sécurité du bureau de Verkada pour harceler des collègues féminines en les photographiant secrètement et en publiant des photos d'elles sur un canal Slack de la société. En réponse, le PDG de Verkada a licencié les trois personnes qui ont été à l'origine de cet incident, pour « un comportement flagrant à l'égard de leurs collègues, et négligence de signaler ce comportement malgré leurs obligations en tant que directeurs ».

Les hackers ont eu accès à une liste de comptes d'utilisateurs Verkada, y compris ceux des milliers d'organisations. La liste des clients qui utilisent Verkada est large : outre des sociétés comme Tesla et Cloudflare, le groupe a eu accès aux caméras Verkada à l'intérieur de Halifax Health, un hôpital de Floride ; de l'école primaire Sandy Hook à Newtown ; de la prison du comté de Madison à Huntsville, Alabama ; et du centre médical régional de Wadley, un hôpital de Texarkana, Texas. En plus des images de la caméra, le groupe affirme également avoir pu accéder à la liste complète des milliers de clients de Verkada et à ses informations financières privées.

« Si vous êtes une entreprise qui a acheté ce réseau de caméras et que vous les installez dans des endroits sensibles, vous ne vous attendez peut-être pas à ce qu'en plus d'être surveillé par votre équipe de sécurité, un administrateur de l'entreprise de caméras vous surveille également », a déclaré Eva Galperin, directrice de la cybersécurité à l'Electronic Frontier Foundation, qui a été informée de la brèche.

« Il y a de nombreuses raisons légitimes d'avoir une surveillance à l'intérieur d'une entreprise », a ajouté Galperin. « La partie la plus importante est d'obtenir le consentement éclairé de vos employés. Habituellement, cela se fait à l'intérieur du manuel de l'employé, que personne ne lit ».

La société « se présente comme une alternative "plus sûre et plus facile à mettre à échelle" que les réseaux internes d’enregistrement vidéo », a réagi Rick Holland, responsable de la sécurité chez Digital Shadows, une entreprise de cybersécurité. Mais cette intrusion est « un exemple des risques associés à la délocalisation de ce type de services à des fournisseurs de Cloud ».

Réponse d'Okta : « Chez Okta, rien n'est plus important pour nous que la sécurité et la sûreté de nos clients, de nos employés et de leurs données. Mardi, nous avons pris connaissance d'un rapport concernant Verkada et Okta. Le service Okta n'a pas été touché. Nous continuons à enquêter sur la situation et fournir des mises à jour au fur et à mesure que des informations supplémentaires pertinentes seront disponibles. »

Sources : Verkada, Okta

Et vous ?

Que pensez-vous de ce piratage ?
Que pensez-vous de l’externalisation de la vidéosurveillance via des sociétés de caméras de sécurité connectées à Internet ?
Comment peut-on protéger ses données des attaques via les fournisseurs de ces services de vidéosurveillance ?

Voir aussi :

Des employés ont utilisé le système de vidéosurveillance de leur société pour harceler leurs collègues féminins, le système serait facilement accessible par les employés réguliers
Un tiers des entreprises exposent des services de réseau non sécurisés à l'internet, d'après une étude conjointe de RiskRecon et Cyentia Institute
Un hacker pirate des caméras de surveillance pour parler à un bébé, la sécurité des objets connectés est-elle remise en cause ?
Quelqu'un pirate les hackeurs ! Maza, le plus élitiste des forums de cybercriminels russes, s'est fait entièrement pirater

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de T3TR4
Membre du Club https://www.developpez.com
Le 19/03/2021 à 12:13
Quelle surprise ! On connecte des objets sur un réseau et on s'aperçoit que des gens, qui naviguent sur ce réseau y ont accès.

Parfois, je me demande si les personnes qui fabriquent et commercialisent ce genre de système s'y connaissent vraiment dans leur spécialité ?

Si je vends des serrures 5 points, même 35 points si je veux, si mon client les installe sur une porte en papier, j'y pourrais absolument rien s'il y a des intrusions chez lui.

Ne pas oublier également que ces "groupes de hackers" s'ils le veulent, peuvent aisément disparaitre du réseau. S'ils choisissent de communiquer là dessus, c'est aussi pour informer les gouvernements et les clients utilisant ce genre de système.
2  0 
Avatar de Escapetiger
Expert éminent sénior https://www.developpez.com
Le 10/03/2021 à 17:52
Nous sommes de plein pied à l'ère du village global anticipé en 1967 par le philosophe canadien, écrivain, professeur d'université, sociologue, critique littéraire, Marshall McLuhan; aussi bien pour les sociétés que pour les particuliers *.

Je vous invite à aller plus souvent que de coutume dans le forum sécurité de developpez, ici, pour vous en rendre compte, prendre les dispositions adéquates pour vous-même et vos proches, etc.

*
par exemple en 2015 :
Webcams, imprimantes, portes de garage... Vous n’avez pas protégé vos objets connectés ? Dommage. Le moteur de recherche Shodan nous a permis d’en prendre les commandes. Nous avons pu prévenir certains d’entre vous.

Source: J’ai pris le contrôle de votre caméra et je vous ai retrouvés - L'Obs - Rue 89
1  0 
Avatar de DevelopVic
Candidat au Club https://www.developpez.com
Le 23/04/2021 à 22:33
C'est clair que c'est assez frappant.
Effectivement nous pouvons faire tellement de choses malveillantes sur le web et cela en regardant un simple tutoriel.
Ce n'est pas pour autant qu'il faut le faire car il y a une certaine part de respect et de bon sens.
Article très intéressant tout de même qui nous rappelle encore qu'il ne faut pas se laisser aller et rester sur le qui-vive.
Il y a aussi le fishing qui est très commun aujourd'hui. Il suffit de recevoir un mail identique à nos partenaires et se laisser guider pour qu'à la fin on lâche ses informations personnelles.
Grave erreur!
Mais je m'évade du sujet
1  0 
Avatar de TotoParis
Membre expérimenté https://www.developpez.com
Le 11/03/2021 à 13:32
Les pirates ont trouvé ce qu'il fait pour se connecter sur le web. C'est atterrant.
Mais ce n'est pas parce que vous voyez une clé sur une serrure que vous êtes autorisé à ouvrir la porte.
Avec ceci : Kottmann a aussi déclaré que leurs raisons de pirater sont « beaucoup de curiosité, la lutte pour la liberté d'information et contre la propriété intellectuelle, une énorme dose d'anticapitalisme et un soupçon d'anarchisme » on comprend mieux le caractère un peu sociopathe de ces "hackers"...
0  1