J’ai pris le contrôle de votre caméra et je vous observe…
Incroyable mais vrai, imaginez les possibilités pour des gens mal intentionnés, (et les flics pas forcément bien intentionnés non plus)… Nous ne le répéterons jamais assez : PROTÉGEZ-VOUS !
Webcams, imprimantes, portes de garage… Vous n’avez pas protégé vos objets connectés ? Dommage. Le moteur de recherche Shodan nous a permis d’en prendre les commandes. Nous avons pu prévenir certains d’entre vous.
Cela fait plusieurs jours que je vous observe. Par le biais de votre caméra. Comme beaucoup, vous n’avez pas mis de mot de passe et j’ai pu accéder à votre adresse IP sur Shodan, un moteur de recherche qui répertorie les objets connectés dans le monde. J’ai ainsi été le témoin de votre vie intime, à votre insu.
Depuis la rédaction de Rue89, avec mon collègue Yann Guégan, nous sommes par exemple tombés sur la webcam d’une femme devant son ordinateur et sur celle d’un jeune homme assis dans son canapé, avec sa petite amie. Nous avons observé une piscine publique, un bureau de tabac dans le Limousin, et une boutique de vêtements.
Nous avons pris goût à ce sentiment de puissance, mais nous nous sommes sentis un peu sales. Nous avons donc décidé de tout faire pour entrer en contact avec les propriétaires des appareils concernés.
Nous avons commencé par rechercher les responsables du réseau de vidéosurveillance d’une pharmacie. Elle nous inquiète particulièrement : on a accès à cinq caméras différentes dans le magasin. Sur certaines, on peut distinguer facilement le terminal de paiement par carte bancaire, et voir les clients taper leur code.
« Je sais que je suis filmée »
Un service de localisation d’IP indique qu’elle se trouve à Montreuil (Seine-Saint-Denis ). En théorie, ces sites peuvent permettre de remonter jusqu’au nœud de raccordement d’abonnés (NRA), le local où convergent les connexions internet d’une commune ou d’un même quartier. En réalité, les informations qu’ils donnent s’avèrent contradictoires. Il va nous falloir analyser l’image très pixellisée qui apparaît à l’écran.
Nous examinons tous les détails qui pourraient nous aider : la couleur des blouses des employés, la forme du comptoir, les panneaux publicitaires. Nous comprenons ainsi que la pharmacie se trouve à l’intérieur d’un centre commercial. Nous distinguons bientôt sur l’une des caméras un morceau du logo d’un restaurant, appartenant à une chaîne bien connue et situé juste en face. Enfin une piste. Après plusieurs appels infructueux, nous finissons par tomber sur la bonne enseigne………….
[…]
Nos followers à la rescousse
Nous cherchons ensuite à localiser un terrain de tennis, mais, contrairement à la pharmacie, aucun signe distinctif sur l’image ne nous permet de le situer. Nous décidons de mettre à contribution les centaines de milliers d’abonnés du compte Twitter de Rue89.
Chers followers, besoin de votre aide (bis). Sauriez-vous où se trouvent ces terrains de tennis ? Thx ! pic.twitter.com/hmkWqODINR
— Rue89 (@Rue89) 23 Mai 2014
Nous avons reçu plusieurs dizaines de réponses, puis sillonné la France via Google Earth pour essayer de les vérifier.
Un lecteur reconnaît finalement les courts : ils sont situés dans une commune de Haute-Savoie. Pour vérifier, nous envoyons notre « indic » sur place avec un panneau Rue89. Nous le voyons apparaître à l’écran. Bingo……
[…]
Votre imprimante, vos portes de garage…
Une fois retrouvés les propriétaires des caméras, place aux autres objets connectés. Parce que sur Shodan, on ne trouve pas que des webcams. L’internaute peut aussi prendre le contrôle de climatiseurs, de chambres froides, de scanners, d’imprimantes, de portes de garage…
Les journalistes norvégiens du projet « Null CTRL », les premiers à avoir enquêté sur le sujet, ont même réussi à accéder à une interface de contrôle d’aiguillage de trains parce qu’elle n’était pas protégé par un mot de passe.
« Il est possible d’accéder à des systèmes logiciels à distance de centrales électriques ou de barrages », a expliqué à Vice John Matherly, le père de Shodan.
« Ensuite, il y a tous ces trucs bizarres, comme les crématoriums. C’est vraiment glauque. Vous voyez le nom des patients et les différents réglages s’afficher – par exemple, il y a un réglage pour les enfants. Il n’y a pas d’authentification nécessaire, pas de mot de passe, rien. »
En recherchant simplement la marque d’une imprimante en France, le résultat est édifiant : pour un seul modèle, Shodan renvoie 4 678 réponses.
En se connectant aux imprimantes, on peut observer le niveau d’encre restant ou le nombre de feuilles disponibles dans les différents bacs… On peut aussi modifier la qualité d’impression, réinitialiser la machine ou commander des fournitures.
Nous décidons de lancer des impressions à distance sur ces machines, avec le message qui suit :
« Si vous trouvez cette page dans votre imprimante, c’est que n’importe qui peut y accéder via Internet sans même avoir à taper un mot de passe. »
Suivent un numéro de téléphone et une adresse e-mail pour nous contacter.
« C’est un canular ? »
Après plusieurs tentatives, une employée d’un laboratoire de recherche en informatique d’une université – ça ne s’invente pas – finit par appeler, un peu paniquée :
« C’est un canular ? Ça fait dix fois que je reçois votre papier dans mon imprimante ! »
Il lui a fallu plusieurs minutes pour réaliser que nous avions pu, à distance, déclencher une impression.…….
[…]
Préparer un cambriolage depuis son canapé
Ce petit jeu nous montre que beaucoup d’utilisateurs prennent trop à la légère la question de la sécurité sur Internet. Pire, installer une caméra peut donner un faux sentiment de sécurité, alors qu’elle peut rendre plus vulnérable : une personne malintentionnée et bien organisée peut préparer un cambriolage ou un braquage en profitant des images accessibles………
[…]
Moi, producteur du « Truman Show »
Cette fois, c’est pour de vrai. Je me suis senti tout ce temps comme Christof, le tout puissant producteur de télévision joué par Ed Harris dans « The Truman Show » qui livre, jour après jour, la vie d’un quidam en pâture à ses téléspectateurs.
Lui déclenche les caméras, l’océan et la météo. Moi les scanners, les imprimantes et les webcams. J’aurais pu faire de même avec les portes de garage, les climatiseurs et les chambres froides, si je l’avais voulu. Mais ça n’avait que peu d’intérêt – impossible de retrouver le propriétaire en faisant cela – et tout cela a fini par me mettre très mal à l’aise.
En créant Shodan, John Matherly n’a jamais voulu faciliter le travail des hackers. Pour lui, c’est juste un moyen de sensibiliser le public à la question de la sécurité sur Internet :
« A la base, j’ai développé Shodan pour que les sociétés puissent traquer l’utilisation de leurs logiciels. Au final, les chercheurs en sécurité s’en sont servis pour traquer les logiciels, mais aussi les appareils. Depuis longtemps, les chercheurs analysent la vulnérabilité des systèmes informatiques ; mais avant Shodan, ils n’avaient pas de données sur lesquelles s’appuyer pour affirmer : “Il y a une menace réelle.” Shodan a fini par servir de base empirique à leur argumentation. »
Demain, le frigo et le babyphone ?
Etre observé à son insu, prendre le contrôle d’un périphérique à distance a quelque chose de terrifiant. Pourtant, le vrai danger est peut être ailleurs comme l’explique Guilhem Borghesi :
« Si l’on se saisit de tous ces serveurs et périphériques pour envoyer une grande quantité de données inutiles, des messages par exemple, vers un autre réseau, on va le rendre inutilisable, l’inonder. C’est ce qu’on appelle une attaque par déni de service. Le but est de rendre le réseau inaccessible pour ses utilisateurs légitimes. »
Shodan, bien qu’effrayant, nous éclaire aussi à propos d’un fantasme de notre avenir proche : celui des objets connectés. Apple vient d’annoncer qu’elle allait multiplier ses efforts dans la domotique, souhaitant que ses clients connectent tous les appareils de la maison. Ericsson prévoit 50 milliards de dispositifs mis en réseau d’ici 2020. Frigo, lave-vaisselle, lumière, mais aussi babyphone, téléphone et pourquoi pas Google Glasses pourront être contrôlés. Et détournés s’ils ne sont pas correctement protégés…..
[…]
Auteur Gurvan Kristanadjaja pour Rue89/Le Nouvel Obs
Lire:
Shodan est le moteur de recherche le plus dangereux au monde
Et soudain, je vous vois par la caméra de votre salon…
ARTICLE TROUVÉ SUR : http://lesmoutonsenrages.fr/2014/06/11/jai-pris-le-controle-de-votre-camera-et-je-vous-ai-retrouves/
Merci amdorubuntu..