Connect with us

Technologie

Attaque contre les caméras de surveillance un avertissement sur la sécurité, l’éthique

Published

on


Une cyberattaque contre la start-up de vidéosurveillance Verkada qui a vu environ 150.000 caméras vidéo, dont beaucoup dans des endroits sécurisés, compromis par un collectif hacktiviste, incite à des avertissements à la fois autour de l’hygiène de sécurité de base, et l’éthique de la technologie de surveillance.

Selon Bloomberg, le groupe à l’origine de l’attaque, qui s’est auto-désigné comme APT-69420, a accé à des flux vidéo à partir d’installations exploitées par le constructeur automobile Tesla, l’infrastructure web et spécialiste de la sécurité Cloudflare, la chaîne de salles de gym Equinox, et de multiples établissements d’enseignement, de soins de santé et de prison.

Un représentant du groupe a déclaré à l’organisation de nouvelles qu’ils ont obtenu l’accès après avoir trouvé verkada informations d’identification admin exposés sur Internet, et à partir de là, ils ont été en mesure d’obtenir un accès root à sa base matérielle installée, ce qui aurait pu leur permettre de se déplacer latéralement à travers les réseaux de ses clients et d’établir la persistance pour les attaques futures – quelque chose que le groupe ne semble pas avoir fait.

Dans une déclaration partagée avec Bloomberg, Verkada a déclaré qu’elle avait désactivé tous les comptes administratifs internes pour empêcher tout autre accès, ainsi que d’engager sa propre équipe de sécurité et des experts externes pour enquêter sur la violation. Il a également avisé les forces de l’ordre et, au moment d’écrire ces lignes, l’APT-69420 semble avoir été expulsé de ses systèmes.

L’attaque réussie met en évidence les failles de cybersécurité dans l’ensemble. Darren Guccione, PDG et co-fondateur de Keeper Security, un spécialiste de la gestion des mots de passe, a déclaré que la simplicité de l’attaque de l’APT-69420 était ce qui le rendait si dangereux.

« La simplicité de cette attaque est ce qui la rend si dangereuse », a déclaré Guccione. « Ces informations d’identification de compte ont été trouvées en ligne [so] un cybercriminels avec les bonnes ressources et l’accès au dark web aurait pu éventuellement y accéder.

« Il s’agit d’un exemple classique de la nécessité d’une hygiène des mots de passe robuste et de pratiques exemplaires en matière de cybersécurité. Chaque organisation doit comprendre que les cybercriminels ont maintenant placé plus de 20 milliards d’informations d’identification de connexion volées à partir d’atteintes à la protection des données publiques sur le dark web. Si des mesures ne sont pas prises pour surveiller adéquatement le dark web et maintenir la technologie de sécurité des mots de passe au sein de l’organisation, les résultats pourraient être irréparables.

Inconvénients pour les clients

Elisa Costante, vice-présidente de la recherche chez Forescout, spécialiste de la sécurité sur Internet des objets (IoT), qui a déjà exploré l’étendue de la succession de Verkada, a déclaré que la violation était également très gênante pour les clients de l’entreprise.

« Sur la base de nos propres recherches, les caméras Verkada sont largement utilisées au sein du gouvernement et des soins de santé, ce qui rend ces organisations particulièrement vulnérables à ce genre d’attaques. La seule façon pour les organisations de se protéger adéquatement est de s’assurer qu’elles ont une plate-forme complète de visibilité et de contrôle des appareils en place », a-t-elle déclaré.

« Dans ce cas, les mauvais acteurs ont apparemment seulement eu recours à regarder les images de ces caméras ont capturé. Mais ils sont probablement en mesure de causer beaucoup plus de dommages s’ils choisissent de le faire, comme notre propre équipe de recherche l’a découvert.

« Nous avons été en mesure d’intercepter, d’enregistrer et de remplacer les images en temps réel des caméras intelligentes en exploitant des protocoles de streaming vidéo non cryptés et en effectuant une attaque de l’homme au milieu », a déclaré Costante. « Cela donne effectivement aux criminels un manteau d’invisibilité virtuelle pour accéder physiquement aux lieux et faire des ravages dans le monde réel. »

Niamh Muldoon, responsable mondial de la protection des données chez OneLogin, fournisseur d’IAM, a déclaré que les conséquences pour Verkada étaient susceptibles d’être importantes. « Les séquences vidéo ont la capacité d’identifier une personne et sont classées comme « sensibles » en vertu des règlements sur la protection de la vie privée comme le GDPR et/ou l’ACCP », a-t-elle déclaré. « Par conséquent, Verkada est susceptible de voir un impact financier énorme à la suite de cette violation de données.

« Les clients voudront avoir l’assurance qu’ils sont protégés contre toute une gamme de menaces physiques et cybersécurité, y compris le vol d’identité », a-t-elle déclaré. « Les organismes de réglementation de la protection de la vie privée et de l’industrie examineront les activités de Verkada afin d’évaluer si des contrôles appropriés étaient en place pour protéger ces types de données hautement sensibles et réglementés. »

Pendant ce temps, Stephen Kapp, directeur de la technologie et fondateur de Cortex Insight, un spécialiste de l’intel menace, a partagé des conseils pour les utilisateurs de Verkada. « Pour limiter les dégâts de l’attaque, il est important que toutes les organisations utilisant les caméras Verkada s’assurent que tous les comptes administrateur et super administrateur ont des mots de passe par défaut changés et toutes les corrections de Verkada appliquées dès que disponible, at-il dit.

« L’attaque renforce également l’importance pour les organisations d’appliquer des contrôles de sécurité autour de tous les appareils connectés au réseau, car cela limitera led’intrus qui y accèdent à distance à des fins néfastes. Ce type d’appareil ne doit jamais être directement connecté à Internet.

Culture de la surveillance

Peut-être heureusement pour les clients de Verkada, représentant de l’APT-69420 a expliqué que leur motivation était de démontrer à quel point la vidéosurveillance est répandue, et comment facilement ces systèmes peuvent être cassés pour révéler des informations que les utilisateurs peuvent préférer garder privé.

Par exemple, une vidéo exposée, soi-disant montré un suspect en garde à vue étant physiquement retenu, tandis que d’autres ont révélé l’identité des patients de l’hôpital, ou des personnes qui ont accé à des zones sécurisées de bâtiments. Parmi les autres données divulguées figuraient des noms de fichiers inappropriés donnés à des vidéos enregistrées pour la postérité par des agents pénitentiaires dans un établissement de l’Arizona.

À cet égard, il semblerait certainement qu’APT-69420 ait atteint ses objectifs, comme l’a souligné Kyle Walker, directeur régional de la cybersécurité chez A&O IT Group, un fournisseur de services de sécurité gérés (MSSP).

« Le fait qu’il était si facile pour un groupe de piratage d’entrer dans les systèmes de Verkada est effrayant et l’intention du groupe de pirates était d’exposer ce genre de vulnérabilités en premier lieu », a déclaré Walker.

« Je ne pense pas que les gens sont toujours conscients de la façon dont exactement nous sommes exposés par le biais de sociétés de surveillance comme Verkada, nous savons qu’il ya quelqu’un de l’autre côté regarder, mais qu’en est-il de ceux qui pensent que ces flux sont privés au monde extérieur? »

Natalie Page, analyste du renseignement sur les menaces chez MSSP Talion, a ajouté : « Cette attaque contre une organisation aussi médiatisée, permettant aux attaquants d’accéder à des caméras de surveillance hautement intrusives, est extrêmement inquiétante.

« Notre monde moderne repose en grande partie sur la surveillance, construite sur des milliards de caméras qui observent chaque mouvement. Nous avons essentiellement créé une infrastructure que toutes les classifications des adversaires dans le paysage des menaces peuvent tirer parti pour atteindre leurs objectifs », a-t-elle déclaré.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance