INTRUSION 2.0 – Avec Shodan, contrôlez des webcams et imprimez chez les autres.


Webcams, imprimantes, portes de garage... Vous n’avez pas protégé vos objets connectés ? Dommage. Le moteur de recherche Shodan nous a permis d’en prendre les commandes. Nous avons pu prévenir certains d’entre vous.

Cela fait plusieurs jours que je vous observe. Par le biais de votre caméra. Comme beaucoup, vous n’avez pas mis de mot de passe et j’ai pu accéder à votre adresse IP sur Shodan, un moteur de recherche qui répertorie les objets connectés dans le monde. J’ai ainsi été le témoin de votre vie intime, à votre insu.
Depuis la rédaction de Rue89, avec mon collègue Yann Guégan, nous sommes par exemple tombés sur la webcam d’une femme devant son ordinateur et sur celle d’un jeune homme assis dans son canapé, avec sa petite amie. Nous avons observé une piscine publique, un bureau de tabac dans le Limousin, et une boutique de vêtements.



Un magasin de vêtements quelque part en France (Capture d’écran)
Nous avons pris goût à ce sentiment de puissance, mais nous nous sommes sentis un peu sales. Nous avons donc décidé de tout faire pour entrer en contact avec les propriétaires des appareils concernés.
Nous avons commencé par rechercher les responsables du réseau de vidéosurveillance d’une pharmacie. Elle nous inquiète particulièrement : on a accès à cinq caméras différentes dans le magasin. Sur certaines, on peut distinguer facilement le terminal de paiement par carte bancaire, et voir les clients taper leur code.

« Je sais que je suis filmée »

Shodan utilisé pour une enquête en Norvège
Espen Sandli et Linn Kongsli Hillestad ont reçu l’European Press Prize en 2013 pour leur travail via Shodan. Leur enquête « Null CTRL », publiée sur le tabloïd norvégien Dagbladet, nous a largement inspirés.

Un service de localisation d’IP indique qu’elle se trouve à Montreuil (Seine-Saint-Denis ). En théorie, ces sites peuvent permettre de remonter jusqu’au nœud de raccordement d’abonnés (NRA), le local où convergent les connexions internet d’une commune ou d’un même quartier. En réalité, les informations qu’ils donnent s’avèrent contradictoires. Il va nous falloir analyser l’image très pixellisée qui apparaît à l’écran.

Nous examinons tous les détails qui pourraient nous aider : la couleur des blouses des employés, la forme du comptoir, les panneaux publicitaires. Nous comprenons ainsi que la pharmacie se trouve à l’intérieur d’un centre commercial. Nous distinguons bientôt sur l’une des caméras un morceau du logo d’un restaurant, appartenant à une chaîne bien connue et situé juste en face. Enfin une piste. Après plusieurs appels infructueux, nous finissons par tomber sur la bonne enseigne.

L’excitation monte : enfin, nous sommes en train de passer de l’autre côté du miroir. On a eu peur d’effrayer l’employée qui a décroché, mais elle a bien pris la chose : « Oui, je sais que je suis filmée, ça ne change rien à mon travail. »



La pharmacie que nous avons observée et retrouvée (Capture d’écran)
Quelques jours plus tard, discussion avec le patron, plutôt content qu’on l’ait prévenu. Pour les pharmacies comme pour les bijouteries, les caméras de vidéosurveillance sont obligatoires, explique-t-il.
« J’ignorais qu’il existait un moteur de recherche pour ces périphériques. Ici, ce n’est pas la banque de France, on ne peut pas avoir accès à des données très importantes, et je ne pense pas que l’on puisse distinguer clairement le code bancaire des usagers avec une vidéo à quatre images par seconde. Mais il est important de se protéger, c’est vrai.
J’avais installé ce système de caméras il y a longtemps, il est déclaré. Normalement ça devait rester en interne, sauf quand Rue89 se met à fouiller... Mais c’est bien, ça m’a permis de prendre des précautions. »

Nos followers à la rescousse

Nous cherchons ensuite à localiser un terrain de tennis, mais, contrairement à la pharmacie, aucun signe distinctif sur l’image ne nous permet de le situer. Nous décidons de mettre à contribution les centaines de milliers d’abonnés du compte Twitter de Rue89.



Nous avons reçu plusieurs dizaines de réponses, puis sillonné la France via Google Earth pour essayer de les vérifier.
Un lecteur reconnaît finalement les courts : ils sont situés dans une commune de Haute-Savoie. Pour vérifier, nous envoyons notre « indic » sur place avec un panneau Rue89. Nous le voyons apparaître à l’écran. Bingo.


« Mot de passe : désactivé », enquête à lire... par rue89

Le résumé de certaines de nos trouvailles sur Shodan
La pharmacie et le court de tennis
Nous avons contacté la responsable de ce club de tennis en Haute-Savoie.
« Il y a eu plein de dégradations, des gens qui viennent boire des bières et jettent des cailloux, des tuyauteries en cuivre qui ont été volées. Le président du club a porté plainte, et la mairie a décidé d’installer une caméra.
Sauf qu’elle n’est pas installée au bon endroit, et puis la nuit, il n’y a pas assez d’éclairage public. Depuis, une porte a été fracturée. Mais je pense que personne ne sait que la caméra est accessible sans mot de passe. »
Contactée, la mairie a promis qu’elle allait désinstaller la caméra.



Un bureau de tabac dans le centre de la France
Nous avons fait beaucoup pour retrouver la plupart des gens que nous avons observés. Malheureusement, certains restent impossibles à localiser. C’est le cas notamment du gérant du bureau de tabac ci-dessus.

Votre imprimante, vos portes de garage...

Une fois retrouvés les propriétaires des caméras, place aux autres objets connectés. Parce que sur Shodan, on ne trouve pas que des webcams. L’internaute peut aussi prendre le contrôle de climatiseurs, de chambres froides, de scanners, d’imprimantes, de portes de garage...
Les journalistes norvégiens du projet « Null CTRL », les premiers à avoir enquêté sur le sujet, ont même réussi à accéder à une interface de contrôle d’aiguillage de trains parce qu’elle n’était pas protégé par un mot de passe.
« Il est possible d’accéder à des systèmes logiciels à distance de centrales électriques ou de barrages », a expliqué à Vice John Matherly, le père de Shodan.
« Ensuite, il y a tous ces trucs bizarres, comme les crématoriums. C’est vraiment glauque. Vous voyez le nom des patients et les différents réglages s’afficher – par exemple, il y a un réglage pour les enfants. Il n’y a pas d’authentification nécessaire, pas de mot de passe, rien. »
En recherchant simplement la marque d’une imprimante en France, le résultat est édifiant : pour un seul modèle, Shodan renvoie 4 678 réponses.
En se connectant aux imprimantes, on peut observer le niveau d’encre restant ou le nombre de feuilles disponibles dans les différents bacs... On peut aussi modifier la qualité d’impression, réinitialiser la machine ou commander des fournitures.

L’interface en ligne d’une imprimante connectée sur IP (Capture d’écran)
Nous décidons de lancer des impressions à distance sur ces machines, avec le message qui suit :
« Si vous trouvez cette page dans votre imprimante, c’est que n’importe qui peut y accéder via Internet sans même avoir à taper un mot de passe. »
Suivent un numéro de téléphone et une adresse e-mail pour nous contacter.

« C’est un canular ? »

Après plusieurs tentatives, une employée d’un laboratoire de recherche en informatique d’une université – ça ne s’invente pas – finit par appeler, un peu paniquée :
« C’est un canular ? Ça fait dix fois que je reçois votre papier dans mon imprimante ! »
Il lui a fallu plusieurs minutes pour réaliser que nous avions pu, à distance, déclencher une impression.
Beaucoup de ces appareils sont installés dans des universités, à Strasbourg, Limoges, ou encore Toulon. Guilhem Borghesi, responsable sécurité du système d’informatique de l’université de Strasbourg, en connaît les raisons :
« On sait qu’il y a des failles de sécurité sur certains périphériques, on a déjà fait la recherche. Nous en avions sécurisé certains, mais il est impossible de le faire pour tous, parce que la plupart des serveurs concernés se trouvent dans des laboratoires indépendants de l’université. Les gens branchent eux-mêmes l’imprimante directement sur le réseau sans prendre de précaution. Elles sont déclarées en DHCP [l’attribution d’une adresse IP se fait automatiquement, ndlr], et n’ont pas tout le temps la même IP. Il est donc impossible de mettre en place un pare-feu. »
La tâche est considérable, ajoute-t-il :
« Nous hébergeons plusieurs dizaines de milliers de postes de travail et plusieurs centaines serveurs. Si dix d’entre eux ne sont pas sécurisés, ça représente un risque acceptable. Le danger serait que des personnes malveillantes prennent le contrôle des imprimantes et fassent du “flood” [un envoi de données en grande quantité dans le réseau, afin de le rendre inutilisable, ndlr]. Mais si cela se produisait sur dix périphériques seulement, les conséquences seraient moindres car cela ne suffirait pas à mettre un serveur hors d’usage. »
Par précaution, nous lui avons transmis les adresses IP vulnérables. Il a pu faire le nécessaire pour les protéger.

Préparer un cambriolage depuis son canapé

Ce petit jeu nous montre que beaucoup d’utilisateurs prennent trop à la légère la question de la sécurité sur Internet. Pire, installer une caméra peut donner un faux sentiment de sécurité, alors qu’elle peut rendre plus vulnérable : une personne malintentionnée et bien organisée peut préparer un cambriolage ou un braquage en profitant des images accessibles.
Avant de m’intéresser à Shodan, j’étais peut-être comme vous, naïf. Je pensais qu’on ne pouvait pas trouver d’adresses IP si facilement, qu’on ne pouvait pas accéder à ma webcam ou à mon imprimante sans introduire un virus dans mon ordinateur, qu’Internet était un espace sécurisé par tous ses antivirus et autres « firewalls ». Après tout, quand j’ai installé ma box internet, on m’a demandé d’installer une clé WEP, ça suffit, non ? Et pourtant, c’est le serveur qu’il fallait sécuriser, et non le WiFi.
Quand j’étais enfant, j’imaginais parfois qu’on me regardait à travers la grille de la VMC au plafond de la maison. Qu’on épiait mes faits et gestes, et ça me mettait très mal à l’aise.

Moi, producteur du « Truman Show »

Cette fois, c’est pour de vrai. Je me suis senti tout ce temps comme Christof, le tout puissant producteur de télévision joué par Ed Harris dans « The Truman Show » qui livre, jour après jour, la vie d’un quidam en pâture à ses téléspectateurs.
Lui déclenche les caméras, l’océan et la météo. Moi les scanners, les imprimantes et les webcams. J’aurais pu faire de même avec les portes de garage, les climatiseurs et les chambres froides, si je l’avais voulu. Mais ça n’avait que peu d’intérêt – impossible de retrouver le propriétaire en faisant cela – et tout cela a fini par me mettre très mal à l’aise.
En créant Shodan, John Matherly n’a jamais voulu faciliter le travail des hackers. Pour lui, c’est juste un moyen de sensibiliser le public à la question de la sécurité sur Internet :
« A la base, j’ai développé Shodan pour que les sociétés puissent traquer l’utilisation de leurs logiciels. Au final, les chercheurs en sécurité s’en sont servis pour traquer les logiciels, mais aussi les appareils. Depuis longtemps, les chercheurs analysent la vulnérabilité des systèmes informatiques ; mais avant Shodan, ils n’avaient pas de données sur lesquelles s’appuyer pour affirmer : “Il y a une menace réelle.” Shodan a fini par servir de base empirique à leur argumentation. »

Demain, le frigo et le babyphone ?

Etre observé à son insu, prendre le contrôle d’un périphérique à distance a quelque chose de terrifiant. Pourtant, le vrai danger est peut être ailleurs comme l’explique Guilhem Borghesi :
« Si l’on se saisit de tous ces serveurs et périphériques pour envoyer une grande quantité de données inutiles, des messages par exemple, vers un autre réseau, on va le rendre inutilisable, l’inonder. C’est ce qu’on appelle une attaque par déni de service. Le but est de rendre le réseau inaccessible pour ses utilisateurs légitimes. »
Shodan, bien qu’effrayant, nous éclaire aussi à propos d’un fantasme de notre avenir proche : celui des objets connectés. Apple vient d’annoncer qu’elle allait multiplier ses efforts dans la domotique, souhaitant que ses clients connectent tous les appareils de la maison. Ericsson prévoit 50 milliards de dispositifs mis en réseau d’ici 2020. Frigo, lave-vaisselle, lumière, mais aussi babyphone, téléphone et pourquoi pas Google Glasses pourront être contrôlés. Et détournés s’ils ne sont pas correctement protégés.

Quelques jours après que nous avons mis en ligne le premier volet de l’article sur le site de Rue89, vous avez mis un mot de passe sur votre caméra. Oui vous que j’observais dans votre cuisine, dans votre canapé, ou devant la télévision. Peut-être avez-vous lu cet article – ce que j’espérais vraiment en l’écrivant – et pris conscience du danger.
Si c’est le cas, contactez moi, j’aimerais beaucoup vous rencontrer. Après tout, j’ai partagé un bout de vie avec vous, non ?



L’appartement que j’observais lors de l’écriture du précédent article sur Shodan (Capture d’écran)

Source : http://rue89.nouvelobs.com vu sur http://bigbrowser.blog.lemonde.fr

Commentaires