Se connecter
Inscription
Mot de passe perdu
Publié le 28/05/2015 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Utrecht, le 27 mai 2015 – Une enquête réalisée par Kaspersky Lab sur la sécurité d’un système de vidéosurveillance opérationnel a montré que des réseaux conçus pour aider les citoyens à se protéger contre les criminels et terroristes pouvaient être détournés par des tiers en exploitant des failles dans la configuration système.
Ce n’est un secret pour personne que les services de police et les autorités surveillent les rues dans les villes. Dans ce cadre, les caméras de sécurité ont une valeur inestimable en matière d’enquête et de prévention de la criminalité. Ces systèmes peuvent toutefois être utilisés de manière préjudiciable. C’est ce qui ressort d’une enquête menée par le chercheur de Kaspersky Lab Vasilios Hioureas et Thomas Kinsey d’Exigent Systems Inc.
Dans le cadre de leur enquête, les auteurs ont examiné le réseau de vidéosurveillance d’une ville particulière. Les caméras de surveillance étaient reliées via un réseau MESH - un type de réseau dans lequel les données (un flux vidéo dans ce cas spécifique) sont envoyées au poste central par le biais de nœuds reliés entre eux. Au lieu d’utiliser un hotspot wifi ou une connexion câblée, dans ce genre de réseaux les nœuds envoient les données simplement vers le nœud le plus proche, qui les transmet à son tour au centre de commande via d’autres nœuds. Si un intrus parvient à établir une connexion avec un seul nœud, il est ainsi en mesure de manipuler les données envoyées.
Les systèmes de vidéosurveillance basés sur des réseaux MESH sont en général une alternative avantageuse à des systèmes de surveillance qui requièrent soit plusieurs hotspots dans une ville, soit des kilomètres de câbles. Néanmoins, la sécurité de ces réseaux dépend fortement de la configuration de l’ensemble du réseau.
Dans le cas examiné par les chercheurs, le réseau de caméras n’utilisait aucun cryptage. Après avoir fait l’acquisition d’équipements semblables à ceux utilisés par cette ville, les chercheurs de Kaspersky Lab ont découvert que suffisamment de moyens de cryptage étaient proposés, mais que, en l’occurrence, ils n’étaient pas correctement utilisés. Conséquence : des données non-crypté étaient transmises via le réseau et elles étaient librement disponibles pour tout observateur participant.
Les chercheurs se sont rapidement rendu compte que la création de leur propre version du logiciel utilisé dans le réseau suffisait pour être en mesure de manipuler les données transmises via le réseau. Après avoir imité le réseau et le logiciel en laboratoire, ils ont pu intercepter les flux vidéo de chaque nœud et les modifier, par exemple en remplaçant la véritable vidéo de la caméra par une vidéo bidon.
Les chercheurs ont communiqué l’été dernier leurs constatations à l’entreprise qui était responsable de la mise en place du réseau de surveillance dans la ville en question. Depuis lors, les adaptations nécessaires ont été apportées au réseau vulnérable.
« Nous avons réalisé cette enquête pour souligner que la cyber-sécurité a également un effet sur les systèmes de sécurité physiques, en particulier pour des systèmes publics critiques comme la vidéosurveillance. Lors du développement d’une Smart City, il est primordial de réfléchir au confort ainsi qu’à l’efficacité énergétique et à la rentabilité permis par les nouvelles technologies, mais aussi aux questions susceptibles de se poser en termes de cyber-sécurité. Bien que les résultats de cette enquête ont été présentés en août de l’année dernière, nous avons toutes les raisons de croire que ces constatations peuvent s’avérer encore utiles pour les villes qui envisagent de mettre en œuvre des systèmes de vidéosurveillance basés sur des réseaux MESH ou qui ont déjà mis en place de tels systèmes », explique Vasilios Hioureas, Junior Malware Analyst chez Kaspersky Lab et co-auteur de l’enquête.
Pour éviter les problèmes de sécurité liés aux réseaux MESH, Kaspersky Lab conseille de prendre les mesures suivantes :
· Même si le piratage reste toujours possible, le cryptage Wi-Fi Protected Access avec un mot de passe solide est l’exigence minimale pour veiller à ce que le système ne constitue plus une cible facile.
· Le masquage des SSID (noms publics d’un réseau sans fil) et le filtrage MAC (qui permet aux utilisateurs de définir une liste d’appareils autorisés sur le réseau wifi) rendent la tâche plus difficile pour les pirates inexpérimentés.
· Veillez à ce que toutes les étiquettes sur les équipements soient masquées et inaccessibles, afin de dissuader les pirates non initiés.
· La sécurisation de données vidéo à l’aide de cryptographie à clé publique rend quasiment impossible la manipulation de données vidéo.
L’enquête a été initialement présentée lors de DefCon 2014. Elle a ensuite été publiée comme partie intégrante de contributions de Kaspersky Lab à la base de connaissances de Securing Smart Cities. Cette initiative mondiale sans but lucratif vise à résoudre les problèmes de cyber-sécurité existants et futurs de villes intelligentes. Elle veut y parvenir par le biais d’une collaboration entre entreprises, autorités, médias, initiatives non lucratives et particuliers aux quatre coins de la planète.
Ce n’est un secret pour personne que les services de police et les autorités surveillent les rues dans les villes. Dans ce cadre, les caméras de sécurité ont une valeur inestimable en matière d’enquête et de prévention de la criminalité. Ces systèmes peuvent toutefois être utilisés de manière préjudiciable. C’est ce qui ressort d’une enquête menée par le chercheur de Kaspersky Lab Vasilios Hioureas et Thomas Kinsey d’Exigent Systems Inc.
Dans le cadre de leur enquête, les auteurs ont examiné le réseau de vidéosurveillance d’une ville particulière. Les caméras de surveillance étaient reliées via un réseau MESH - un type de réseau dans lequel les données (un flux vidéo dans ce cas spécifique) sont envoyées au poste central par le biais de nœuds reliés entre eux. Au lieu d’utiliser un hotspot wifi ou une connexion câblée, dans ce genre de réseaux les nœuds envoient les données simplement vers le nœud le plus proche, qui les transmet à son tour au centre de commande via d’autres nœuds. Si un intrus parvient à établir une connexion avec un seul nœud, il est ainsi en mesure de manipuler les données envoyées.
Les systèmes de vidéosurveillance basés sur des réseaux MESH sont en général une alternative avantageuse à des systèmes de surveillance qui requièrent soit plusieurs hotspots dans une ville, soit des kilomètres de câbles. Néanmoins, la sécurité de ces réseaux dépend fortement de la configuration de l’ensemble du réseau.
Dans le cas examiné par les chercheurs, le réseau de caméras n’utilisait aucun cryptage. Après avoir fait l’acquisition d’équipements semblables à ceux utilisés par cette ville, les chercheurs de Kaspersky Lab ont découvert que suffisamment de moyens de cryptage étaient proposés, mais que, en l’occurrence, ils n’étaient pas correctement utilisés. Conséquence : des données non-crypté étaient transmises via le réseau et elles étaient librement disponibles pour tout observateur participant.
Les chercheurs se sont rapidement rendu compte que la création de leur propre version du logiciel utilisé dans le réseau suffisait pour être en mesure de manipuler les données transmises via le réseau. Après avoir imité le réseau et le logiciel en laboratoire, ils ont pu intercepter les flux vidéo de chaque nœud et les modifier, par exemple en remplaçant la véritable vidéo de la caméra par une vidéo bidon.
Les chercheurs ont communiqué l’été dernier leurs constatations à l’entreprise qui était responsable de la mise en place du réseau de surveillance dans la ville en question. Depuis lors, les adaptations nécessaires ont été apportées au réseau vulnérable.
« Nous avons réalisé cette enquête pour souligner que la cyber-sécurité a également un effet sur les systèmes de sécurité physiques, en particulier pour des systèmes publics critiques comme la vidéosurveillance. Lors du développement d’une Smart City, il est primordial de réfléchir au confort ainsi qu’à l’efficacité énergétique et à la rentabilité permis par les nouvelles technologies, mais aussi aux questions susceptibles de se poser en termes de cyber-sécurité. Bien que les résultats de cette enquête ont été présentés en août de l’année dernière, nous avons toutes les raisons de croire que ces constatations peuvent s’avérer encore utiles pour les villes qui envisagent de mettre en œuvre des systèmes de vidéosurveillance basés sur des réseaux MESH ou qui ont déjà mis en place de tels systèmes », explique Vasilios Hioureas, Junior Malware Analyst chez Kaspersky Lab et co-auteur de l’enquête.
Pour éviter les problèmes de sécurité liés aux réseaux MESH, Kaspersky Lab conseille de prendre les mesures suivantes :
· Même si le piratage reste toujours possible, le cryptage Wi-Fi Protected Access avec un mot de passe solide est l’exigence minimale pour veiller à ce que le système ne constitue plus une cible facile.
· Le masquage des SSID (noms publics d’un réseau sans fil) et le filtrage MAC (qui permet aux utilisateurs de définir une liste d’appareils autorisés sur le réseau wifi) rendent la tâche plus difficile pour les pirates inexpérimentés.
· Veillez à ce que toutes les étiquettes sur les équipements soient masquées et inaccessibles, afin de dissuader les pirates non initiés.
· La sécurisation de données vidéo à l’aide de cryptographie à clé publique rend quasiment impossible la manipulation de données vidéo.
L’enquête a été initialement présentée lors de DefCon 2014. Elle a ensuite été publiée comme partie intégrante de contributions de Kaspersky Lab à la base de connaissances de Securing Smart Cities. Cette initiative mondiale sans but lucratif vise à résoudre les problèmes de cyber-sécurité existants et futurs de villes intelligentes. Elle veut y parvenir par le biais d’une collaboration entre entreprises, autorités, médias, initiatives non lucratives et particuliers aux quatre coins de la planète.
Plus d'articles dans cette catégorie
18/04/2024 @ 10:31:59
Poster un commentaire
Mobile
Jeux Vidéos
