S'abonner Se connecter
Journal d'investigation en ligne et d'information‑hacking
Dossier
Monde
par Rédaction

Reflets s'invite par hasard dans les voitures de police ukrainiennes

Les caméras de vidéosurveillance n'étaient pas protégées

À la recherche de caméras accessibles via Internet pour suivre le conflit, Reflets s'est retrouvé dans les voitures de la police de Kyiv, avec son et image en temps réel. Les risques présentés par ces défauts de configuration nous ont poussé à prévenir les autorités. En moins de quatre heures, les flux ont été coupés.

Reflets, embeded dans une voiture de la police de Kyiv. - © Reflets

Tout commence par un travail de Reflets sur les caméras de vidéosurveillance ukrainiennes. Peut-on documenter la guerre au travers de ces caméras ? Sont-elles suffisamment protégées ? Est-ce qu'une vulnérabilité éventuelle ou une mauvaise configuration pourraient permettre à un pays tiers d'accumuler du renseignement ?

Un travail de recueil systématique des caméras disponibles dans le pays a débuté le 27 février 2022. Tester l'ensemble des 55 007 équipements joignables par internet et les géolocaliser aura pris 48 heures à une petite équipe de trois personnes.

Sans grande originalité, et comme dans la plupart des pays, au moins 5% d'entre elles sont accessibles en utilisant les noms d'utilisateurs et mots de passe par défaut. Ces identifiants doivent impérativement être changés à l'installation, mais les installateurs ne s'en inquiètent pas toujours. Vous pouvez relire notre précédent article sur ce sujet ici.

C'est en effectuant ces vérifications que nous avons la surprise d'accéder à un flux vidéo particulier : celui d'une caméra située dans une voiture en mouvement. Les avenues de Kyiv, les ponts, les checkpoints militaires se succèdent malgré le couvre-feu et à peine avons-nous réalisé ce qui se passe qu'une deuxième caméra tombe dans nos filets. Cette fois, le conducteur et le passager sont visibles à l'image :

Une voiture de police. En Ukraine. À Kyiv.

L'adresse de la troisième caméra découverte semble indiquer que l'ensemble des équipements sont connectés à un seul et même réseau. Un travail d'analyse poussé nous permet finalement d'accéder à plus d'une trentaine de véhicules de police dans la ville.

Vues de l'intérieur des automobiles, vues de l'extérieur, messages radio, conversations téléphoniques, tout est librement accessible à qui se donne la peine de chercher. Mouvements des forces de l'ordre, emplacement des équipements militaires et autres informations sensibles pourraient tomber en de bien mauvaises mains.

En route, un barrage filtrant - © Reflets
En route, un barrage filtrant - © Reflets

Les policiers sont souvent équipés de gilets pare-balles mais l'ambiance est encore assez détendue. Dans l'une des voitures, les policiers passent le temps en regardant une série mal doublée tout en engloutissant des chips et des cacahuètes.

On grignote en regardant des séries avant la possible confrontation dans les rues de Kyiv - © Reflets
On grignote en regardant des séries avant la possible confrontation dans les rues de Kyiv - © Reflets

Lors de la révolution syrienne, Reflets avait participé à une opération avec Telecomix, visant à détourner le trafic Internet des Syriens pour les amener sur des pages leur expliquant les dangers de la surveillance étatique de Bachar el-Assad. Cette fois, il nous a semblé important de prévenir les autorités Ukrainiennes des risques encourus par les policiers de Kyiv et pour la défense de la capitale. Si nous pouvions suivre en directs les déplacements des voitures de polices, la localisation des checkpoints, les conversations des policiers et les échanges radios, le renseignement russe le pouvait aussi. Que faire de notre découverte ?

Nous avons donc décidé d'envoyer mardi un émissaire à l'ambassade d'Ukraine à Paris avec un document résumant nos trouvailles. Devant le bâtiment, des bouquets de fleurs aux couleur de l'Ukraine, une icône de la Vierge et des bougies. De jeunes hommes attendent, désireux de s'engager dans la légion des volontaires étrangers décidée par le président ukrainien.

Un employé aborde notre envoyé sur le trottoir. Ce dernier explique qu'il a une information importante à transmettre. Après une brève hésitation, le gardien s'engouffre dans l'ambassade. Il revient et demande d'attendre. Quelques minutes plus tard, un homme en costume arrive, il ne se présente pas. À la lecture du document expliquant le problème, et à la vue des captures d'écran des caméras, il s'écrie : « Mais c'est très important. Je dois prévenir Kyiv immédiatement, c'est incroyable. Comment vous avez vu ça, c'est quoi Reflets ? » Après quelques explications sur l'info-hacking, il dit « vraiment, merci, merci. Je transmets immédiatement. » et disparaît dans l'immeuble au pas de course.

Et 3h40 plus tard, les caméras se coupent une à une. Certaines sont retirées, d'autres ont désormais un vrai mot de passe... Cette histoire révèle au passage que la chaîne de commandement fonctionne très bien. Trois heures quarante minutes entre l'alerte à l'ambassade de Paris et l'action du service informatique de la police de Kyiv, en pleine guerre et sous les bombes, chapeau !

10 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée