Reflets s'invite par hasard dans les voitures de police ukrainiennes
Les caméras de vidéosurveillance n'étaient pas protégées
À la recherche de caméras accessibles via Internet pour suivre le conflit, Reflets s'est retrouvé dans les voitures de la police de Kyiv, avec son et image en temps réel. Les risques présentés par ces défauts de configuration nous ont poussé à prévenir les autorités. En moins de quatre heures, les flux ont été coupés.
Tout commence par un travail de Reflets sur les caméras de vidéosurveillance ukrainiennes. Peut-on documenter la guerre au travers de ces caméras ? Sont-elles suffisamment protégées ? Est-ce qu'une vulnérabilité éventuelle ou une mauvaise configuration pourraient permettre à un pays tiers d'accumuler du renseignement ?
Un travail de recueil systématique des caméras disponibles dans le pays a débuté le 27 février 2022. Tester l'ensemble des 55 007 équipements joignables par internet et les géolocaliser aura pris 48 heures à une petite équipe de trois personnes.
Sans grande originalité, et comme dans la plupart des pays, au moins 5% d'entre elles sont accessibles en utilisant les noms d'utilisateurs et mots de passe par défaut. Ces identifiants doivent impérativement être changés à l'installation, mais les installateurs ne s'en inquiètent pas toujours. Vous pouvez relire notre précédent article sur ce sujet ici.
C'est en effectuant ces vérifications que nous avons la surprise d'accéder à un flux vidéo particulier : celui d'une caméra située dans une voiture en mouvement. Les avenues de Kyiv, les ponts, les checkpoints militaires se succèdent malgré le couvre-feu et à peine avons-nous réalisé ce qui se passe qu'une deuxième caméra tombe dans nos filets. Cette fois, le conducteur et le passager sont visibles à l'image :
Une voiture de police. En Ukraine. À Kyiv.
L'adresse de la troisième caméra découverte semble indiquer que...