Des chercheurs ont identifié plusieurs vulnérabilités techniques au sein de milliers de caméras IP. Les flux vidéo étaient alors accessibles directement sur Internet.

40 000 caméras de surveillance exposées : un simple navigateur suffit pour espionner datacenters, hôpitaux et usines ©Shutterstock
40 000 caméras de surveillance exposées : un simple navigateur suffit pour espionner datacenters, hôpitaux et usines ©Shutterstock

Plus de 40 000 caméras de vidéosurveillance installées dans des environnements professionnels et industriels présentaient des failles de sécurité. Elles pouvaient potentiellement être exploitées par des tiers dans des campagnes d'espionnage.

Un flux en direct depuis n'importe où

Selon The Register, des experts en sécurité du cabinet Bitsight ont découvert qu'environ 43 000 caméras connectées, issues de plusieurs fabricants, sont actuellement accessibles sans restriction sur Internet. Ces appareils ont été installés dans des bureaux, des entrepôts ou encore dans des sites industriels.

Les personnes chargées de les administrer auraient tout simplement laissé leurs ports standards ouverts (notamment les ports 80, 443 et 554 pour le streaming en temps réel). De cette manière, n’importe qui est en mesure de les localiser et d’accéder aux flux vidéo en clair, sans chiffrement ni authentification.

Parmi ces caméras, certains modèles exposaient même leurs interfaces d’administration. Il devient possible pour une personne malintentionnée de modifier les paramètres, voire de récupérer des informations réseau.

Une menace d'espionnage

À la suite de cette découverte, certains fabricants ont publié des correctifs et surtout recommandé de désactiver l’accès distant non sécurisé. En parallèle, la liste des caméras concernées a été transmise aux opérateurs et aux autorités.

Selon Bitsight, ces flux vidéo pourraient potentiellement être utilisés pour de l'espionnage, cartographier des angles morts et recueillir des secrets commerciaux, entre autres usages.

En février, le département de la sécurité intérieure aux États-Unis avait d'ailleurs prévenu que les caméras connectées fabriquées en Chine constituaient un vecteur privilégié pour les espions chinois. Selon les autorités, ces dernières se trouveraient par dizaines de milliers sur le territoire, dans les sites industriels, notamment sur les secteurs de la chimie et de l'énergie. Surtout, ces appareils ne disposeraient généralement pas de système de chiffrement et renverraient directement les données directement vers le fabricant.