Skip navigation

Sécurité des caméras IP : voir et être vu !

Les caméras contrôlées par Internet promettent de renforcer la sécurité et grâce à elles, les propriétaires de maisons et d’appartements peuvent enfin jeter un coup d'œil vigilant dans leurs propres murs durant leur absence. Cependant, ces appareils de surveillance qui connaissent une popularité croissante ne sont pas toujours sûrs et ils permettent ainsi aux cybercriminels d’espionner des appartements étrangers via Internet et de lancer de grandes attaques en ligne.

Une caméra IP apporte-t-elle davantage de sécurité ou bien peut-elle représenter un risque pour les utilisateurs ? Cet article fournit une réponse claire.

Statistiques policières de la délinquance en 2015 : le nombre croissant de cambriolages est l’une des raisons expliquant le boom des ventes de caméras IP. (Source : ministère de l’Intérieur allemand, http://www.bmi.bund.de/)

Le service en ligne « Insecam » montre des images en temps réel de caméras IP non protégées. (Source : http://www.insecam.org/)

Insecam détermine l’emplacement des caméras non protégées et l’affiche sur Google Maps. (Source : http://www.insecam.org/) 

Le moteur de recherche « Shodan » permet d’accéder les appareils IoT dans le monde entier, dont de nombreuses caméras IP. (Source : https://www.shodan.io/)

Les menus non protégés dans le cloud permettent aux attaquants de commander des caméras IP étrangères, d'espionner et d’écouter leurs propriétaires. (Source : https://www.shodan.io/)

AV-TEST examine les appareils IoT lors de tests de sécurité complets. Les certificats de sécurité de l’institut AV-TEST vous permettent d’identifier les caméras IP sécurisées. Les tests actuels sont disponibles sur notre blog (https://www.iot-tests.org).

Une bonne surveillance pour peu d’argent

Les caméras de surveillance qui transmettent des images, vidéos et sons sur l’ordinateur et le portable via Internet connaissent un succès incroyable. Cela n’a rien d’étonnant car ces appareils deviennent de plus en plus abordables et il n’y a que l’embarras du choix. Si, il y a encore peu de temps, les clients devaient dépenser une petite fortune (plusieurs centaines d’euros) pour une telle installation de surveillance en temps réel, il existe désormais des systèmes de caméras IP dont le prix est bien inférieur à cent euros. Même le commun des mortels peut réussir à les installer, à les intégrer dans un réseau WiFi et à créer un compte correspondant dans le cloud sans grand problème puisque ces opérations peuvent facilement être réalisées via une application pour la plupart de ces caméras. Le nombre de fonctions de ces appareils est également remarquable : même dans les modèles d’entrée de gamme, vous avez accès à l’infrarouge pour la vision nocturne, au balayage à 360° par le biais de l’application grâce à une commande à moteur ainsi qu’à des capteurs de mouvements et capteurs audio déclenchant une alarme via Internet.

De plus en plus de cambriolages

Certes, les caméras sont aussi utilisées comme babyphone ou pour surveiller les animaux de compagnie. Mais la raison d’achat principale d’un tel outil de surveillance reste très probablement la protection de la maison, de la cour, du garage ou de l’appartement de vacances. Ce besoin de sécurité accru n’est pas dû au hasard : les statistiques policières actuelles de la délinquance en Allemagne indiquent une augmentation de près de 10 % des cambriolages domestiques pour l’année 2015 par rapport à l’année précédente. Si les voleurs pensent que les habitants sont absents, le nombre de cas augmente même de 11 %. Il n’est donc pas étonnant que les propriétaires tout comme les locataires fassent appel à ces caméras de plus en plus abordables.

Lorsque les caméras de sécurité attaquent des services en ligne

L’impression de sécurité que confère la surveillance par caméra est trompeuse et peut parfois même se révéler dangereuse : de nombreux fabricants offrent certes un grand nombre de fonctions de sécurité pour leurs caméras de surveillance, mais la plupart n’ont pas pensé à sécuriser le transfert et la sauvegarde des données produites par la caméra. Dans certains cas, l’accès aux appareils par le biais de services en ligne correspondants n’est pas du tout ou pas suffisamment protégé. Les caméras ouvrent alors la porte de la sphère privée des utilisateurs à des attaquants et permettent à des tiers d’accéder à tous les appareils connectés au réseau WiFi dont les ordinateurs, smartphones et tablettes. Par exemple, en envoyant ou en enregistrant sans le crypter le mot de passe du réseau domestique qui était auparavant correctement chiffré.

Dans le pire des cas, les caméras ne compromettent pas seulement la sécurité du réseau WiFi de la maison, elles sont aussi utilisées par des cybercriminels au sein d’un botnet à des fins d’extorsion ou pour attaquer des services en ligne – bien sûr sans que les utilisateurs s’en rendent compte. Une attaque de ce type a eu lieu le 21 octobre dernier : plus de 100 000 appareils mal protégés avec une connexion Internet, dont un grand nombre de caméras IP, ont automatiquement été intégrés à un botnet par le biais d’un programme malveillant baptisé « Mirai » qui était spécialisé sur les appareils IoT, et ce, dans le monde entier. Grâce à la puissance informatique de ce « réseau de caméras », les assaillants ont réalisé de nombreuses attaques en ligne. De grands services en ligne, dont Twitter, PayPal, Amazon, Netflix et Spotify auraient ainsi pu être rendus indisponibles sur Internet et auraient été soumis à un chantage préalable.

Les personnes en quête de protection servies sur un plateau

Les services en ligne Insecam et Shodan démontrent parfaitement comment la protection censée être offerte par les caméras IP peut se retourner contre leurs utilisateurs en raison de défauts de sécurité.

Le site Internet « Insecam » montre des caméras IP ayant été connectées à Internet par leurs propriétaires. Les appareils utilisés et les plates-formes dans le cloud ne sont cependant pas protégés par un mot de passe ou les utilisateurs ne l’ont pas activé.  En plus des caméras de surveillance dans des magasins, on découvre ainsi de nombreux appareils situés au cœur de la vie privée des utilisateurs. Des chambres d’enfant, des portes d’entrée, des garages ainsi que des images de jardins protégés par de hautes clôtures destinées à éviter les regards : tout cela est disponible sur ce site. Détail piquant : Insecam ne se contente pas de diffuser en direct les images des caméras, mais précise aussi leur emplacement sur des cartes de Google Maps. Les cambrioleurs peuvent ainsi non seulement espionner facilement de futures victimes, mais aussi les localiser.

Le service en ligne « Shodan » va encore plus loin. Depuis le début de l’année, le moteur de recherche pour les appareils IoT dispose de recherches préconfigurées pour les caméras. Elles listent également les caméras en ligne qui ne sont pas protégées par un mot de passe. Toutefois, les attaquants ne se contentent pas ici de jeter un œil à travers des caméras étrangères. Grâce à des menus de commande non protégés dans le cloud, ils peuvent aussi commander les appareils à distance. Si les appareils disposent d’un microphone, les attaquants peuvent même écouter leurs victimes via Internet.

Le label d’AV-TEST pour la sécurité des produits domotiques

Il est vrai que les caméras IP peuvent contribuer à sécuriser les biens immobiliers et d’autres objets. Cela présuppose cependant qu’elles ne soient pas elles-mêmes un facteur de risque en raison de défauts dans la saisie, le transfert et l’enregistrement des données. Les services dans le cloud ainsi que les applications pour smartphone utilisés pour les caméras IP doivent également résister à un examen de sécurité approfondi afin de pouvoir tenir les attaquants à distance.

Voilà pourquoi AV-TEST examine les caméras IP et d’autres appareils IoT dans le cadre de tests de sécurité complets concernant la communication cryptée, l’authentification sécurisée et la défense contre les attaques externes. Les certificats de sécurité de l’institut AV-TEST vous permettent d’identifier les caméras IP sécurisées et les autres appareils IoT sûrs.

Des différences notables lors du test de sécurité

Le tableau d’essai suivant vous révèle quelles caméras IP actuelles ont fait leurs preuves lors du test de sécurité d’AV-TEST. Les tests de sécurité réguliers de produits IoT et domotiques sont disponibles sur le site Internet d’AV-TEST ainsi que sur notre blog dédié à l’IoT.

Mise à jour : des fabricants réagissent

Certains fabricants ont réagi au test et aux critiques d’AV-TEST en corrigeant les failles de sécurité identifiées dans leurs produits. Cela inclut le fabricant Smartfrog dont le produit éponyme est la première caméra IP à avoir été certifiée.

Partagez ceci :