Aux yeux de tous

Vos caméras vous espionnent

Alarmes connectées, détection d'intrusion, et caméras de vidéosurveillance ont envahi notre quotidien. Problème : c'est vous, qui les avez installées, qui êtes surveillés.

Les systèmes de sécurité pullulent : alarmes connectées, détection d'intrusion, et caméras de vidéosurveillance ont envahi notre quotidien. Partout dans le monde, des caméras surveillent bébé, mémé, le salon, l'entrée, le parking, le garage, le commerce, les stocks... et sont accessibles au plus grand nombre pour un prix toujours plus bas.

Les solutions proposées permettent une mise en place rapide, l'accès direct depuis un smartphone et des fonctionnalités avancées : pilotage de l'appareil, détection de mouvement, alarmes diverses, etc. Pour l'utilisateur, elle représentent un élément de sécurité simple et rassurant.

Sauf que pas du tout.

La plupart de ces matériels sont livrés avec des identifiants et mots de passe par défaut, et ceux-ci sont rarement changés. Une analyse basée sur quelques milliers de caméras montre que plus de 80% sont installées sans que ces mots de passe soient changés. Le résultat : des flux vidéos accessibles directement depuis Internet, et des solutions qui vont à l'inverse du but recherché : n'importe qui peut surveiller bébé, mémé, le salon, l'entrée, le parking, le garage, le commerce ou les stocks.

Plongée dans le monde du PTZ (Pan, Tilt, Zoom), et des flux RTSP, RTMP ou MJPEG librement accessibles.

Un problème ancien... et ignoré

Le site « Insecam » a été parmi les premiers à donner l'alerte. Créé en 2014, il répertorie des caméras directement visibles en ligne. Plus de 1000 sont référencées pour la France, et consultables en deux clics. Il s'agit principalement de flux MJPEG, les plus facilement accessibles depuis un navigateur Mais cette publication, qui aurait dû amener à une prise de conscience, n'a rien changé... et ne représente que la face émergée de l'iceberg. Les moteurs de recherche dédiés à l'« IOT » (Internet Of Things) permettent d'aller plus loin. Shodan.io ou Censys.io, les plus connus, référencent quelques milliers de caméras supplémentaires pour la France.

Des outils, plus puissants encore, sont capables de scanner l'intégralité d'un pays en quelques minutes. Le résultat est vertigineux, et inquiétant en termes de droit à l'image et de libertés publiques. Les caméras de vidéosurveillance accessibles , publiques et privées, sont tellement nombreuses qu'il devient humainement difficile de toutes les consulter. En France, plusieurs dizaines de milliers d'entre elles sont ouvertes à tous les vents.

En France

Sur la voie publique

Les particuliers ne peuvent filmer que l’intérieur de leur propriété (par exemple, l’intérieur de la maison ou de l’appartement, le jardin, le chemin d’accès privé). Ils n’ont pas le droit de filmer la voie publique, y compris pour assurer la sécurité de leur véhicule garé devant leur domicile. Extrait du site de la CNIL.

Alors que dire de D.F., habitant d'Échirolles dans l'Isère ? Ce fervent supporter du Rassemblement National stationne son véhicule en face de chez lui, sur un parking public. Dans l'espoir d'en assurer la sécurité, il a placé une caméra sur la façade de sa maison. Accessible depuis n'importe quel navigateur, elle est pilotable et filme les alentours : commerces, voie publique, parking. Comment remédier à cette situation ?

La CNIL n'est pas compétente en matière de vidéosurveillance privée. Pour faire entendre raison à DF, deux solutions existent : tenter une médiation, une résolution amiable du problème (ami lecteur, si tu es volontaire, nous pouvons te fournir les coordonnées de l'indélicat), ou se tourner vers la justice. Pas simple, dans les deux cas.

Dans les commerces et les entreprises

Le consommateur est généralement informé par un panneau prévu à cet effet. Mais l'employeur doit se soumettre à un certain nombre de règles, dont celle-ci : « [Les caméras] ne doivent pas filmer les employés sur leur poste de travail, sauf circonstances particulières (employé manipulant de l’argent par exemple, mais la caméra doit davantage filmer la caisse que le caissier ; entrepôt stockant des biens de valeurs au sein duquel travaillent des manutentionnaires). »

Ceux qui s'affranchissent de cette contrainte ne sont pourtant pas rares. Salons de coiffure, bureaux de tabacs, restaurants et épiceries filment employés et clients depuis des équipements non sécurisés. Le plus grand sauna gay de Paris fait partie du lot. Parmi ses nombreuses caméras, celle qui filme l'accueil (et la caisse) laisse rêveur. On n'ose pas imaginer ce qu'une personne malveillante (ou un employé des services fiscaux) pourrait faire de ces images.

Dans les domiciles

On aurait tort de croire que les Français filment principalement leurs parking, voies d'accès et vestibules. La grande majorité des caméras filment leur intérieur. Loin devant les autres lieux, salons et salles à manger se laissent admirer, quand ce ne sont pas les chambres des bébés, enfants, ou personnes âgées dépendantes. Si le but recherché est une meilleure sécurité, la contradiction est évidente. Présence et absence dans les lieux, recensement du type de mobilier, scènes d'intimité, tout cela est exposé au public, mettant en danger la sécurité et l'intimité des habitants des lieux.

Tour du monde des caméras

La France n'est évidemment pas le seul pays impacté, et un recensement de l'ensemble des caméras impliquées dans le monde serait fastidieux. Mais des tendances se dégagent, qu'il peut être intéressant de partager.

Israël, champion du monde du nombre de caméras privées par habitant

Les compétences en sécurité des services israéliens sont connues, mais les caméras dans ce pays ne sont pas plus sécurisées qu'ailleurs. Accès aux propriétés, chantiers, colonies des territoires occupés, intérieurs d'habitations, Israël est le pays qui dispose du plus grand nombre de caméras par habitant.

La Russie, championne du monde des pays qui n'existent pas

Faire le tour des caméras russes non sécurisées, c'est avant tout découvrir des républiques exotiques, parties prenantes de la Fédération de Russie. Discothèque en Khakassie, poste de gardiennage au Tatarstan, ascenseur en Ingouchie, la liste est sans fin. Si la prédisposition des Russes à filmer leurs ascenseurs (y compris à l'intérieur) est inexpliquée, ils sont sans conteste ceux qui, en nombre, détiennent le plus grand nombre de caméras. Trouées, comme partout.

Un révélateur des diversités géopolitiques et socio-économiques.

Certains pays souffrent d'un accès difficile à Internet en général et aux services en ligne en particulier. La qualité des réseaux disponibles explique en partie cela. Peut-être les gens ont-ils également d'autres priorités. Syrie, Libye et Irak, par exemple, sont sous-équipés quand la France, l'Allemagne, le Royaume-Uni, la Corée, le Japon ou les États-Unis et Russie sont sur-équipés.

Certaines caméras mettent en évidence de dures réalités socio-économiques. En Arabie Saoudite, par exemple, on alterne entre une domestique de Jeddah, filmée 24 heures sur 24, dormant à même le sol dans la salle de jeux des enfants dont elle a la charge, et une princesse de Riyad dans une chambre somptueuse à la décoration... chargée.

Cette situation est connue, décrite, et ignorée par nos dirigeants. Les droits de l'homme, le business, la realpolitik, tout ça.

Dans tous les cas, et sans grande surprise, les pays les plus fournis en caméras sont également les plus riches. Ils sont aussi ceux qui ont le moins de problèmes quotidiens de sécurité. Paradoxalement, donc : plus un pays est sûr, plus le nombre de caméras est élevé.

Un problème multifactoriel

D’où vient le problème ?

Le premier facteur, le plus important, est que les mots de passe par défaut ne sont changés que dans moins de 20% des cas. Si les guides d'installation rapide conseillent souvent de les modifier dès l'installation, les logiciels de configuration n'obligent pas l'utilisateur à le faire. Or, ces mots de passe sont connus. Ils sont accessibles dans les documentations, toutes disponibles en ligne, et sur de nombreux sites web.

Le deuxième facteur de vulnérabilité est plus gênant, parce qu'il nécessite, pour être bien compris, un niveau technique un peu plus élevé : il n'est pas rare qu'une caméra, lors de l'installation, utilise le protocole UPnP ou P2P pour ouvrir, sur la box ou le routeur Internet, les ports nécessaires au bon fonctionnement de l'application qui l'accompagne généralement. Pour mieux comprendre ce fonctionnement, on lira avec profit cet excellent article sur le sujet.

Ainsi un équipement, qui devrait être convenablement sécurisé puisque situé dans le réseau interne, se retrouve-t-il accessible depuis Internet, sans vérification de la source. Pour que ce problème soit réglé, il faudrait que le logiciel embarqué prenne un minimum en compte les problématiques de sécurité (en établissant une connexion sortante chiffrée vers un serveur de la marque, par exemple). Mais à caméra pas chère, logiciel pas cher et les systèmes embarqués (souvent les mêmes) sont des passoires.

Le troisième facteur est, comme souvent dans les problèmes de sécurité multifactoriels, humain : filmer son intimité et ses biens les plus précieux est une grave erreur, et n'apporte en réalité aucune sécurité supplémentaire. Ces caméras sont faciles à déconnecter, à éteindre, à dégrader... ou à pirater. Si on peut comprendre leur utilité dans de rares cas (surveillance permanente d'une personne particulièrement vulnérable, par exemple), la plupart des installations sont complètement inutiles et n'aboutissent finalement qu'à une sécurité diminuée, à l'inverse de l'objectif recherché.

Bienvenue dans l'Internet of Shit.