En exploitant les webcams et autres dispositifs IoT, les pirates peuvent espionner des conversations privées et professionnelles, ce qui peut leur donner accès à des informations sensibles, selon BitSight.
Imaginez qu’un cybercriminel pirate une webcam connectée à Internet installée dans votre entreprise et qu’il espionne une réunion, un processus de fabrication ou une session de formation interne. Imaginez ensuite ce que cette personne pourrait faire avec les informations obtenues. C’est exactement le scénario décrit par la société BitSight, spécialisée dans les cyber risques.
Dans un nouveau rapport sur les dispositifs IoT non sécurisés, BitSight a découvert qu’une organisation sur 12 disposant de webcams ou de dispositifs similaires connectées à Internet ne les a pas correctement sécurisés, les rendant ainsi vulnérables à une compromission vidéo ou audio. Plus précisément, 3 % des organisations suivies par BitSight possédaient au moins un dispositif vidéo ou audio connecté Internet. Parmi eux, 9% avaient au moins un appareil avec des flux vidéo ou audio exposés, donnant à quelqu’un la possibilité de voir directement ces flux ou d’écouter les conversations.
Quelles sont les organisations les plus exposées à ce piratage ?
Les organisations analysées appartiennent aux secteurs de l’hôtellerie, de l’éducation, de la technologie et du gouvernement. C’est dans le secteur de l’éducation que le risque est le plus élevé, une entreprise sur quatre utilisant des webcams orientées vers l’internet et des dispositifs similaires susceptibles d’être compromis sur le plan vidéo ou audio.
En outre, les entreprises du classement Fortune 1000 ont été les plus exposées, notamment une filiale technologique du classement Fortune 50, une entreprise de divertissement du classement Fortune 100, une entreprise de télécommunications du classement Fortune 50, une entreprise d’hôtellerie du classement Fortune 1000 et une entreprise manufacturière du classement Fortune 50.
Quels appareils ont été analysés dans le cadre de cette enquête sur les cyber risques ?
La plupart des appareils analysés par BitSight utilisent le protocole Real-Time Streaming Protocol (RTSP) pour communiquer sur Internet, bien que certains utilisent les protocoles HTTP et HTTPS. Avec le protocole RTSP, les utilisateurs peuvent envoyer des contenus vidéo et audio et exécuter des commandes pour enregistrer, lire et mettre en pause le flux.
Bien que la plupart des dispositifs examinés dans le cadre du rapport soient des webcams, l’analyse a également porté sur des enregistreurs vidéo en réseau, des sonnettes de porte intelligentes et des aspirateurs intelligents. Certains dispositifs ont été configurés à des fins de sécurité.
Pourquoi les appareils risquent-ils d’être piratés ?
Les appareils analysés, connectés à Internet, n’étaient pas protégés par un pare-feu ou un réseau privé virtuel (VPN), ce qui les rendait vulnérables aux empreintes digitales et aux menaces. Certains appareils exposés étaient mal configurés, certains ne disposant d’aucun mot de passe défini par l’utilisateur. D’autres appareils présentaient une faille de sécurité, dont beaucoup étaient affectés par une vulnérabilité spécifique de contrôle d’accès appelée « vulnérabilité de références d’objets directs non sécurisés ».
Selon BitSight, les vulnérabilités IDOR (Insecure direct object references) ont devenues plus préoccupantes ces derniers temps. En 2022, BitSight a découvert plusieurs vulnérabilités critiques de ce type dans un traceur GPS pour véhicules très répandu. Baptisée CVE-2022-34150, cette faille pourrait permettre à un pirate de s’emparer d’informations à partir de n’importe quel identifiant d’appareil, quel que soit le compte utilisateur connecté à l’appareil.
Au minimum, le flux vidéo ou audio devrait être protégé par des mesures de contrôle d’accès ; cependant, nombre d’entre eux n’étaient pas sécurisés de cette manière, ce qui permettait aux pirates de visionner les flux vidéo et d’espionner les conversations. Un pirate informatique avisé pourrait même modifier les flux exposés pour diffuser de fausses informations, explique BitSight.
Quelles sont les conséquences possibles de ces piratages sur la sécurité ?
Les webcams et autres dispositifs IoT vulnérables ouvrent la porte à plusieurs types de menaces. Un pirate pourrait voir des réunions privées et d’autres conversations, ce qui lui permettrait de recueillir des données personnelles ou des informations compromettantes par le biais d’un flux vidéo ou audio. Les emplacements réels des employés et d’autres personnes pourraient être exposés. Un pirate pourrait également accéder à des activités et des conversations liées à l’entreprise, ce qui lui permettrait de recueillir des informations sensibles non seulement sur l’entreprise, mais aussi sur des tiers.
Les informations exposées pourraient menacer la sécurité physique. Certaines des webcams analysées par BitSight contrôlent des portes et des salles sécurisées, ce qui pourrait donner aux criminels les informations nécessaires pour déjouer la sécurité. En outre, la cybersécurité globale d’une organisation pourrait être menacée. L’accès à des dispositifs audio et vidéo vulnérables fournit aux attaquants davantage de données pour compromettre vos systèmes et réseaux internes.
Les installations de fabrication, les laboratoires, les salles de réunion, les bâtiments scolaires et les halls d’entrée des hôtels figurent parmi les endroits où les webcams sont vulnérables.
Comment réduire les risques liés aux webcams et aux appareils IoT exposés ?
Pour aider votre organisation à réduire les risques liés aux webcams et autres appareils IoT connectés à Internet, BitSight propose quelques conseils.
- Tout d’abord, identifiez tous les appareils vidéo ou audio déployés au sein de votre organisation et de vos partenaires commerciaux. Analysez ensuite la sécurité de ces appareils.
- Placez tout appareil vulnérable derrière un pare-feu ou un VPN.
- Mettez en place des mesures de contrôle d’accès pour protéger les appareils qui ne disposent pas de l’authentification appropriée.
Pour les appareils présentant une vulnérabilité logicielle, le développeur doit intervenir pour fournir un correctif ou sécuriser l’appareil d’une autre manière. Si le fournisseur ne peut ou ne veut pas le faire, votre seule option peut être de changer d’appareil ou de marque.
« Cette étude montre que même les technologies de tous les jours, comme les webcams, peuvent rendre les organisations très vulnérables si elles sont exposées », a déclaré Derek Vadala, Chief Risk Officer de BitSight, dans un communiqué de presse. « Il est essentiel de comprendre comment ces appareils peuvent augmenter la surface d’attaque d’une organisation et de prendre les mesures nécessaires pour les déployer de manière à limiter les menaces potentielles. »
https://www.techrepublic.com/article/how-internet-facing-webcams-put-organization-risk/
https://www.bitsight.com/sites/default/files/2022-07/MiCODUS-GPS-Report-Final.pdf
