Le piratage des caméras de vidéo surveillance, un jeu d’enfant pour les plus dégourdis du web. Sauf que ces pirates n’ont rien de génie, ils profitent uniquement de la fainéantise des utilisateurs.

Le piratage des caméras de vidéo surveillance n’est pas nouveau. Je vous parlais déjà de ces infiltrations de webcams en 2000. En novembre 2015, par exemple, je revenais sur ce fichier contenant des centaines de webcams non sécurisées vendues dans le blackmarket ou encore de ce bébé réveillé par des hurlements d’un idiot du village ayant pris la main sur le baby phone de la famille.

En 2014, je vous révélais la création d’un site Internet Russe qui référencent plusieurs dizaines de milliers de webcams. Bref, un business juteux pour les commerçants du voyeurisme et autres vendeurs de données sensibles (La boutique est-elle vide ? Le hangar stocke en ce moment des téléphones portables ; la banque vient d’être livrée en billets frais…).

Je te soupçonne de taper dans la caisse ! (Boutique de la Ville de Rai)

La sécurité des caméras sur IP est souvent mise à la mal comme j’ai pu le montrer dans ZATAZ.tv de mars 2014. Il ne devrait pas être si facile, normalement, de regarder dans la chambre d’un étranger, et encore moins dans des centaines de chambres filmées par ces caméras de vidéo surveillance. Pourtant, cela reste possible comme je vais vous l’expliquer plus bas.

Montrez moi votre contrat, que je vous renseigne. (Boutique de la Ville de Meudon)

Montrez moi votre contrat, que je vous renseigne. (Boutique du 92)

Failles et mots de passe facilitent le piratage des caméras de vidéo de surveillance

Pour accéder à une caméra de vidéo surveillance rien de plus facile. D’abord avoir l’IP de la cible. Un détail pour les adeptes du social engineering. Autant dire que cette adresse n’est à communiquer à personne. Lisez le mode d’emploi de votre caméra. Chercher les options de sécurité proposées. Soyons honnête, plus votre webcam IP aura d’option, plus elle sera couteuse. Mais la réflexion vaut, je pense, la sécurité de ce que vous souhaitez protéger. Ensuite, le malveillant va rechercher la marque de votre matériel. Pour cela, rien de plus simple une fois encore. La page d’accès à l’administration de votre matériel parle.

Mais tu vas le changer ce password… c’est marqué en GRAS ! (Hôtel du 77)

Un conseil, faites de manière à ce qu’elle ne soit pas lisible : un Htaccess par exemple, ou modifier le logo et toutes marques de reconnaissance pour le malveillant. Ensuite, le mot de passe. Trop de webcam IP, de caméras de vidéo surveillance gardent le mot de passe usine. Je vous laisse imaginer la facilité déconcertante que de retrouver ce sésame dans les notices et listes disponibles sur la toile. Un admin:admin ; root:root et autre admin:0000 sont légions. Des clés qui se changent. Vous le faites bien quand vous perdez les clés de votre maison, faites le sur Internet. Enfin, les failles. Assurez-vous que votre cerbère ne soit pas référencé comme étant un outil « open bar« . Pour cela, un petit coup de Google ou ne soyez pas timide, posez la question !

La bijouterie est vide ! Le matériel, la caisse, le coffre sont repérés. Autant d’informations qui faciliteront l’action d’un malveillant. Vous aurez remarqué le petit « H@ck3D » en haut à gauche qui ne semble perturber personne !

Branleurs, voleurs, mateurs… même combat

Dans mon exemple, le pirate possède donc dorénavant l’IP, l’accès à la page d’administration de votre webcam IP, sa marque, vous n’avez pas changé le mot de passe usine et si c’est le cas, il vient de rechercher sur la toile les failles et accès « pasvraimentprévudanslemodedemploi« . Dernier exemple en date que ZATAZ a pu constater, l’alerte au sujet de la société AXIS. Un logiciel pirate, baptisé « Hack AXIS » permettait (permet toujours pour les caméras non mises à jour, NDR) d’accéder à la racine des périphériques sans avoir besoin de connaitre le mot de passe ; changer le mot de passe du matériel ; contrôler la caméra et, dans ce cas, lancer des attaques via la caméra transformée en Zombie/botnet. La caméra prise en main de la sorte par un pirate au fait de la faille, même mise à jour ensuite, restait dans le sac à malveillance de l’intrus. Une attaque d’autant plus gênante que l’exploit a été diffusé, en juillet 2016.

Quand un installateur de vidéos surveillance se fait pirater… sa propre caméra. #cybersecurite #securite @zataz pic.twitter.com/fvLajiZ8NY

— Damien Bancal o/ (@Damien_Bancal) August 12, 2016

Bref, voilà donc le pirate avec une nouvelle source d’information à votre sujet. Imaginez, le serveur et l’IP l’oriente sur votre situation numérique ; la caméra, et les informations qu’elle peut transporter, fournissent au malveillant les yeux qu’il n’avait pas. En France, c’est une liste de plusieurs milliers de webcams accessibles qui trainent sur la toile, que ce soit dans le blackmarket ou sur des sites offrant de regarder à travers ces « yeux » non sécurisés.

Mais c’est qu’ils nous font un petit « Jacquie et Michel » les gens ! (Caen)

Dans cet article, un petit florilège de 997 webcams Françaises que j’ai pu découvrir sur la toile. Le plus inquiétant reste aussi que la grande majorité des « utilisateurs » ne respectent pas la législation (film voisinage, personnel, …) et les prérogatives de la CNIL à ce sujet.

Vidéo surveillance : Changez votre mot de passe usine

Voici la liste des mots de passe « usine » des principales caméras du marché. Autant dire qu’il est conseillée de les changer. Cela vous évitera bien problèmes !
ACTi: admin/123456 ou Admin/123456
American Dynamics: admin/admin ou admin/9999
Arecont Vision: rien !
Avigilon: admin/admin
Axis: Troot/pass. La nouvelle génération impose votre mot de passe.
Basler: admin/admin
Bosch: Il faut créer son mot de passe à la premiére utilisation.

Regarder ses enfants se faire des bêtises/vider le frigo, à distance, toujours sympa ! (Maison des Yvelines)

Brickcom: admin/admin
Canon: root/camera
Cisco: Création de son mot de passe à la premiére utilisation.
Dahua: admin/admin
Digital Watchdog: admin/admin
DRS: admin/1234
DVTel: Admin/1234
DynaColor: Admin/1234
FLIR: admin/fliradmin
FLIR (Dahua OEM): admin/admin
Foscam: admin
GeoVision: admin/admin
Grandstream: admin/admin
Hikvision: admin/12345. La nouvelle version du firmware (donc mettez à jour) oblige de créer son mot de passe.
Honeywell: admin/1234
Intellio: admin/admin
IQinVision: root/system
IPX-DDK: root/admin ou root/Admin
JVC: admin/jvc
March Networks: admin/rien (92829)
Mobotix: admin/meinsm
Northern: admin/12345. La nouvelle version du firmware (donc mettez à jour) oblige de créer son mot de passe.
Panasonic: admin/12345. La nouvelle version du firmware (donc mettez à jour) oblige de créer son mot de passe.
Pelco Sarix: admin/admin
Pixord: admin/admin
Samsung Electronics: root/root ou alors admin/4321
Samsung Techwin (ancien materiel) : admin/1111111
Samsung (nouvelle génération): admin/4321. La nouvelle version du firmware (donc mettez à jour) oblige de créer son mot de passe.

Pourquoi faire travailler deux hommes, quand un seul … surveille la console de travail à distance ! (Dijon)

Sanyo: admin/admin
Scallop: admin/password
Sentry360 (mini): admin/1234
Sentry360 (pro): none
Sony: admin/admin
Speco: admin/1234
Stardot: admin/admin
Starvedia: admin/vide (92829)
Trendnet: admin/admin
Toshiba: root/ikwd
VideoIQ: supervisor/supervisor
Vivotek: root/vide (92829)
Ubiquiti: ubnt/ubnt
W-Box: admin/wbox123
Wodsee: admin

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

L’essor des vols de cartes SIM d’ascenseurs et de bornes d’urgence : un fléau technologique exploité par les cybercriminels

Posted On 08 Oct 2024

, By Damien Bancal

10 Comments

Doh 16/08/2016 at 09:17 Reply

Ok, perso j’ai déjà essayé de voir si ma camera ip était facile à « poutrer » mais je trouve rien.

Une idée sur les mots clefs ou un site de référence sur le sujet?
- Damien Bancal 16/08/2016 at 10:23 Reply
  
  Si vous avez changé de mot de passe, et que votre outil est mis à jour, il ne devrait pas y avoir de problème.
Doh 16/08/2016 at 10:46 Reply

Oui c’est la cas. Disons que c’est la base. Mais comme on le voit tout les jours, les trous que ce soit sur les webapp ou firmware sont légions.

C’est pourquoi j’avais commencé à chercher des infos avant d’acheter mon matériel. Cependant je dois bien avouer que c’est pas facile à trouver.
dosio 26/06/2017 at 16:12 Reply

article très instructif.
Je me suis équipée de 4 caméras de surveillance somfy à la suite de plusieurs cambriolages et dégradations chez moi. Mais je pense être piratée car les intrusions continuent. Le vendeur affirme que ses caméras sont impiratables. A quels signes peut-on dire qu’on est piraté?
Les images sont de plus en plus floues sur mon androïd. Les caméras sont bizarrement souvent désactivées. Parfois il manque des images. On nous voit sortir dans la maison mais pas rentrer ou le contraire.
Je n’ai aucun doute quant au piratage mais je ne sais pas si c’est à partir de mon android ou autrement. Aidez moi s’il vous plait.
- Damien Bancal 27/06/2017 at 21:08 Reply
  
  Bonjour !
  Vérifier le mot de passe, a-t-il était changé ?
  Vérifier sur Internet, via l’ip couplé à votre object connecté. Est-il accessible via un simple navigateur ?
  …
  N’hésitez pas à me contacter par mail si vous avez besoin d’aide.
brice arcel 07/08/2017 at 04:56 Reply

Bonjour
jai une camara mobotix qui a ete piraté et pesente une tete de mort au centre de l’ecran. les mots de passes ont ete changer.je voudrais savoir si vous pouvez m’aider a resoudre ce probleme en le reinitialisant pour retrouver le mot de passe usine avant de remettre un mot de securiser.
Merci d’avance
Cordialement
- Damien Bancal 07/08/2017 at 10:04 Reply
  
  Bonjour,
  Normalement, vous trouverez la solution dans la notice. Un petit trou, derrière la cam’ qui permet de réinitialiser en mode usine.
Nicolas 16/09/2017 at 18:35 Reply

Le mieux est de ne pas ouvrir les ports et passer par un serveur vpn qui tourne où se trouve le DVR.
Sandrine 20/09/2018 at 15:55 Reply

J’ai pour ma part un problème de piratage mais sur 3 caméras installées FILAIRES ! Elles ne sont pas connectées à Internet mais peut être que le pirate le fait à mon insu. Le boîtier qui stocke les images est facilement accessible. J’ai changé mon adresse IP en notant n’importe quel chiffre mais j’ignore si c’est suffisant. Savez vous comment se pirate des caméras filaires ? Il y a traces d’infraction chez moi et vol, mais sur les images absolument rien de suspect !? Merci de votre aide
- Damien Bancal 20/09/2018 at 16:36 Reply
  
  Bonjour,
  Heu, voilà qui me parait très étonnant. Si vos caméras ne sont pas connectées sur Internet, pas de risque d’interception par ce biais.
  Ensuite, êtes vous certain de ne pas avoir votre administration de caméra via le web ou une application web ?
  Je vous conseille de bien relire le mode d’emploi pour éviter les bêtises de ce genre -> https://www.zataz.com/video-de-surveillance-tracer-camera-deux-clics-de-souris/