Les récentes actualités sur les caméras IP piratées et des images privées vendues illégalement sur Internet ont de nouveau semé le trouble sur le Net. De telles actus ne sont pas surprenantes ; cependant, un nouveau cas a fait sensation : celui de caméras situées dans une clinique de chirurgie plastique à Moscou. Inutile de vous faire un dessin. L’incident a été reporté par la BBC russe. Mes collègues de Kaspersky Lab sont intervenus dans l’article et ont souligné des pratiques de sécurité laxistes exercées par les propriétaires. Dans ce post, nous allons approfondir le sujet.

Quelle menace la vidéosurveillance pose-t-elle ?
Les conséquences les plus déplaisantes et les plus évidentes des failles de la vidéosurveillance sont l’identification potentielle des individus lors de l’enregistrement. En d’autres termes, un cybercriminel peut vous identifier et ensuite utiliser ces images contre vous pour vous faire chanter ou vous cambrioler. Sans parler de l’invasion de la vie privée.
Bien sûr, l’enregistrement vidéo n’est pas suffisant pour partager de nombreuses informations sur une victime, cependant les gens normaux publient volontairement de nombreuses informations personnelles sur Internet. L’incident le plus médiatisé du genre a sans doute était celui de la révélation d’actrices de films X. Des utilisateurs sur un forum avaient trouvé des profils de réseaux sociaux d’actrices de films X et les avaient contactées à l’aide de services de reconnaissance faciale tels que FindFace, pour ensuite les harceler.
Le nombre de caméras de vidéosurveillance est en constante augmentation, tout comme la qualité de leur image. Par exemple, la plupart des entrées d’immeubles résidentiels à Moscou sont équipées de caméras IP qui fournissent une bonne qualité d’image, même dans le noir. Vous vous êtes déjà demandé combien de caméras de surveillance vous voient sur le chemin de votre domicile jusqu’au supermarché du coin ? Avez-vous déjà songé aux menaces potentielles et aux moyens de protection ?

The dark side of facial recognition? https://t.co/7I6B8MAZuW pic.twitter.com/j2O7QkmlF0
— Kaspersky Lab (@kaspersky) August 22, 2016
//platform.twitter.com/widgets.js
Malheureusement, il n’y a aucune façon d’échapper totalement à la vidéosurveillance. Vous ne pourrez pas toujours duper les systèmes de surveillance en utilisant des masques, des lunettes ou du maquillage spécial ; les systèmes modernes ne dépendant pas seulement de la reconnaissance faciale, ils analysent également votre façon de marcher ainsi que votre comportement et même votre humeur.
Cependant, de tels systèmes sophistiqués ne sont utilisés que par les agences gouvernementales et les commerces les plus avancés. Les gouvernements les utilisent pour des questions de sécurité publique (ou ce qu’ils en disent), quant aux commerçants ils cherchent des moyens de vendre rapidement et efficacement leurs produits aux clients. Le reste du monde se contente des bonnes vieilles caméras IP, ou dans certains cas, des webcams. La mauvaise nouvelle est que personne d’entre eux ne fait de la sécurité une priorité.
Comment un enregistrement peut-il être divulgué ? Eh bien, c’est très simple : plusieurs caméras sont connectées afin d’aider les propriétaires à garder un œil sur la zone surveillée, et ce depuis n’importe où dans le monde. L’accès se fait via une interface web. Autrement dit, chaque caméra possède son propre petit site web.
Cette interface web peut être dotée d’une console de gestion à part entière pouvant changer l’angle d’enregistrement, le zoom ou le son. Dans d’autres cas, le site n’est qu’un flux ininterrompu ou des images continuellement mises à jour, comme une émission de télé. Mais voilà le problème : ces « sites web » et « émissions » peuvent être facilement découverts par des systèmes de recherche spécialisés tels que Shodan et Censys.

История о том, как за ничего не подозревающими людьми двачеры через web-камеру следили: https://t.co/7IYbokniud pic.twitter.com/Qg8AJQJ3G3
— Kaspersky Lab (@Kaspersky_ru) April 28, 2016
//platform.twitter.com/widgets.js
Commencez par les bons réglages sur votre propre caméra IP
Pourquoi tant de flux de caméras disponibles ont leur propre moteur de recherche ? Le problème, en général, c’est que les utilisateurs et les fabricants de caméras privilégient la facilité d’utilisation à la sécurité de l’appareil. C’est la raison pour laquelle les caméras de surveillance peuvent être facilement piratées en forçant leur accès.
Cependant, il y a des façons de minimiser les risques. Premièrement, on devrait mettre à jour régulièrement son firmware et utiliser des mots de passe sécurisés, et les changer souvent. Les instructions à suivre sont en général disponibles dans le mode d’emploi ou sur la page d’assistance du site web du produit.
Les mises à jour et les mots de passe sécurisés, c’est le strict minimum à faire en matière de sécurité, mais malheureusement, il n’y a pas de remède universel : les vendeurs reportent fréquemment les mises à jour du firmware ou les vulnérabilités des patchs pendant des mois, en laissant des portes dérobées secrètes (pas tant que ça) sur les interfaces des caméras. D’ailleurs, une marque connue ne garantit pas forcément de bonnes pratiques de sécurité. Mais au moins de grandes marques répondent aux appels persistants des gouvernements pour une meilleure sécurité de l’utilisateur.
Deuxièmement, on devrait toujours désactiver des fonctionnalités inutilisées. Ceci s’applique particulièrement aux divers services du Cloud avec lesquels un grand nombre de caméras sont équipées par défaut. De tels services, peuvent par exemple proposer un accès à distance aux enregistrements via une application sur smartphone ou même un stockage pour l’enregistrement de la vidéosurveillance. Ces avantages sont en effet pratiques, mais ils ne sont pas vraiment transparents pour les utilisateurs, et par conséquent leur niveau réel de sécurité n’est pas facile à évaluer.
Des mesures supplémentaires requièrent certaines expertises. Par exemple, vous pourriez activer l’accès HTTPS à la caméra. Bien sûr, dans ce cas, vous êtes susceptible d’utiliser un certificat émis par l’entreprise, ce qui provoquerait des alertes répétées du navigateur, mais c’est toujours ça de pris.
Une autre chose que vous pouvez faire est d’ajuster votre routeur domestique afin d’isoler votre réseau interne de l’extérieur, en activant l’accès exclusif uniquement à certaines fonctions de l’appareil. Une option supplémentaire est un appareil intermédiaire sous la forme d’un serveur de stockage en réseau NAS. Même une caméra IP de base comprend un logiciel de vidéosurveillance. Bien sûr, dans ce cas, vous devriez activer l’accès sécurisé comme décrit précédemment.

How to hide from surveillance cameras: the past and the future https://t.co/nBvu6No0i7 pic.twitter.com/7BAirXhWpc
— Kaspersky Lab (@kaspersky) September 18, 2015
//platform.twitter.com/widgets.js
Tous les appareils sont désormais dotés d’une webcam
Tout ce dont nous avons parlé concernait les caméras IP. En ce qui concerne les webcams, vous savez déjà quoi faire. S’il s’agit d’une caméra avec un programme indépendant, branchez-la sur un port USB lorsque vous en avez besoin. S’il s’agit d’une webcam intégrée à un ordinateur portable, vous pouvez toujours mettre du ruban adhésif sur la caméra. Vous n’aimez pas l’effet ? Il existe des kits spéciaux en plastique.
Concernant les smartphones, la solution est encore plus simple : acheter une coque solide couvrant la caméra arrière. Vérifiez également si la caméra est isolée de la lumière. Et n’oubliez pas d’utiliser des antivirus sur tous vos appareils.
Qu’en est-il des caméras des autres ?
Une dernière chose. Vous ne pouvez rien faire concernant les caméras de surveillance publiques. Renseignez-vous sur où elles se trouvent, et évitez-les si vous le pouvez. Cela peut paraître étrange, on vous l’accorde. En ce qui concerne la surveillance semi publique, il y a certaines choses que vous pouvez faire. Nous nous référons ici aux caméras déployées dans les halls d’entrée et les cages d’escaliers des immeubles résidentiels.
Les régulations pertinentes varient d’un pays à l’autre. Dans des pays tels que la Russie, par exemple, un hall d’entrée est considéré comme dépendant de la propriété collective, par conséquent l’installation de la vidéosurveillance doit être approuvée par les résidents et la copropriété. En général, si la caméra relève des parties communes et non du domaine privé, l’installation est facilement approuvée.
Ceci étant dit, avant de vous engager dans une lutte contre une caméra du hall d’entrée, vous devez savoir qu’une telle caméra peut s’avérer utile si vous avez besoin d’identifier des malfrats en cas de chantage ou de cambriolage. Des cambrioleurs peuvent même avoir peur d’une caméra, y compris si elle est fausse. Mais une caméra cachée ou une surveillance secrète n’est définitivement pas de notre ressort. Restez-y à l’écart !
Si un enregistrement de vous est diffusé sur Internet à votre insu, vous pouvez intenter une action en justice pour le faire supprimer. Cependant, il y a des nuances à prendre en compte. Premièrement, pensez à l’effet Streisand. Deuxièmement, il pourrait y avoir des particularités juridiques sur à peu près tout. Par exemple, une vidéo provenant d’un lieu public avec d’autres personnes autour de vous ne pourrait pas faire l’objet d’un procès.
Source: Kaspersky
Webcams vs Humains