Des pirates informatiques commercialisent des accès à de la vidéo surveillance mal protégés. Je vous montre comment il est dangereux de prendre à la légère ce genre de fuite.

vidéo surveillance versus pirate ! Sur le web, je croise des pirates informatiques, des hackers et des bidouilleurs du dimanche. Si le second est un indispensable du web, de l’informatique et des réseaux par son engagement à aider les autres, le premier à clairement le mal en tête.

J’ai croisé un pirate qui commercialise des accès à des webcams. Pourquoi ? « Pour se faire de l’argent » explique-t-il. Il joue surtout avec les internautes voyeurs. Coût d’un accès, entre 0.50€ et 2€ selon ce qui est filmé. Il va me communiquer quelques exemples pensant appâter l’acheteur potentiel qu’il avait devant lui.

Pas protéger sa v. surveillance sur IP, c'est la retrouver à coup sur dans de mauvaises mains. J'ai caché les têtes ! #cybersécurité @zataz pic.twitter.com/xZuozFmCYz

— Damien Bancal "o/" (@Damien_Bancal) May 1, 2017

Business du voyeur au business de la vidéo surveillance piratée

Parmi les trois exemples, qui au passage se trouvent être diffusées gratuitement par d’autres malveillants sur la toile, une image d’une caméra de vidéo surveillance censée protéger une entreprise inconnue. Sauf que le pirate, pas très malin [ce qui est le cas de 80% des pirates, NDR], n’a pas pensé que j’allais vérifier l’IP, l’adresse qui connecte la caméra de vidéo surveillance à l’Internet. Le business du voyeur comme je le nomme n’a pas de limite, sauf les pirates et les utilisateurs en ont !

Bilan, me voici avec une entreprise inconnue, basée à Nantes [l’IP] dont la vidéo surveillance est compromise par le manque de mot de passe protégeant sa diffusion sur le web. Les images sont diffusées en temps réel, il fait beau à Nantes en ce lundi 1er mai. La vitrine est illisible… sauf en jouant avec les couleurs, le contraste et le ton de la capture écran que j’ai réalisé lors de cette diffusion en « live ». Le logo sur la vitrine est apparu. Bilan, me voici avec l’IP, la marque et la situation géographique d’une entreprise basée à Nantes. Autant dire que la retrouver via un site comme Les pages Jaunes ou Mappy n’est plus qu’un jeu d’enfant. J’ai alerté cette entreprise via un protocole d’alerte ZATAZ. Espérons que ce géomètre-expert y trouvera un intérêt… pour sa sécurité et la vie privée de ses employés sur leur lieu de travail !

Autre exemple, avec un second IP que le pirate va me proposer. La caméra filme deux poubelles, perdues dans un jardin. Ici aussi, une adresse IP. Elle permet de tracer la ville de ces deux dames en plastique. Plus intéressant encore, sur la première poubelle, des indications, dont le logo de la ville. Un logo qui me rassure sur l’emplacement trouvé avec l’IP. Sur la seconde poubelle, l’adresse postale du propriétaire de la caméra de vidéo surveillance. Un coup de Google Map et me voilà dans le jardin du propriétaire grâce aux satellites du géant américain.

Bref, ne pas sécuriser son matériel connecté est très risqué. Dans les cas que je vous expose ici, changer le mot de passe « usine » et mettre en place une limitation d’accès via un htaccess, un vpn … Pensez aussi à utiliser Google, entre autre, pour vérifier que votre caméra n’a pas été référencée par erreur. Un exemple de commande (Dork) : inurl:axis-cgi/jpg. Il en existe des dizaines d’autres. A vous de trouver la votre ou contactez zataz si vous avez besoin d’aide.