Tesla et d'autres, victimes d'un vaste piratage de caméras de surveillance

Il faut se méfier des caméras de surveillance… Tesla, mais aussi des prisons, des hôpitaux, des écoles, un réseau de salle de sport ainsi que la société technologique Cloudflare, qui utilisent les logiciels de vidéosurveillance de la start-up Verkada, viennent de l'apprendre à leurs dépens.

Des hackers se présentant comme des militants anticapitalistes et opposés à la vidéosurveillance auraient exploité une faille de sécurité dans le système informatique de la start-up américaine pour pirater des images captées par des dizaines de milliers de caméras.

Des images qui ont dévoilé les coulisses parfois peu reluisantes de certaines institutions. Par exemple, un centre pénitentiaire de l'Alabama surveille en secret ses prisonniers grâce à des caméras de reconnaissance faciale et un hôpital du Texas braque la vidéosurveillance sur les lits et l'intimité de ses patients. Mais l'essentiel n'est pas là.

Attaque par rebond

En s'introduisant avec une étonnante facilité dans le système de Verkada après avoir simplement trouvé sur Internet le pseudo et le mot de passe d'un administrateur informatique de la start-up, les hackers auraient en réalité pu causer beaucoup plus de dégâts.

En passant par les caméras connectées aux réseaux des clients de Verkada, et selon la technique redoutée de l'attaque par rebond, les pirates ont aussi eu accès aux systèmes de surveillance informatique utilisés par le constructeur automobile Tesla et par Cloudflare. En d'autres termes, ils auraient pu prendre le contrôle de l'informatique dans ces entreprises pour y exécuter n'importe quel code malveillant…

« D'après ce que nous comprenons pour l'instant, les caméras attaquées étaient seulement installées chez l'un de nos fournisseurs », ont tout de suite minimisé les communicants de Tesla. Le ton est le même chez Cloudflare : « Les caméras étaient situées dans une poignée de bureaux qui sont officiellement fermés depuis plusieurs mois. »

« Nous avons désactivé tous les comptes d'administrateurs internes pour empêcher tout accès non autorisé, a de son côté fait savoir un porte-parole de Verkada. Notre équipe de sécurité interne et notre partenaire externe sont en train d'enquêter sur la taille et l'étendue de ce problème, et nous avons notifié les forces de l'ordre. »

Un problème d'image dans la vidéosurveillance

Il n'empêche, le monde de la vidéosurveillance - dont les leaders mondiaux sont le chinois Hikvision et le suédois Axis - risque de voir son image à nouveau touchée par des problèmes de sécurité. Très souvent peu protégées, les caméras de vidéosurveillance ont déjà été utilisées plusieurs fois par le passé pour mener de gigantesques attaques informatiques de dénis de service. Par exemple, le célèbre botnet Mirai prenait le contrôle de milliers de caméras et se servait de leurs adresses IP pour surcharger de demandes de connexion le site Web de sa victime.

Avec une technologie plus moderne entièrement en ligne, Verkada promettait justement davantage de sécurité. Outre de prestigieux clients, la start-up avait il y a un an convaincu ses investisseurs de la valoriser 1,6 milliard de dollars, trois ans seulement après sa création. Mais cette intrusion est « un exemple des risques associés à la délocalisation de ce type de services à des fournisseurs de cloud », note Rick Holland, responsable de la sécurité chez Digital Shadows, une entreprise de cybersécurité.