Via un accès “Super Admin” dont les identifiants étaient exposés au public sur Internet
Un groupe de hackers a déclaré avoir réussi à s’introduire dans une société de sécurité basée en Californie et à accéder à plus de 150 000 caméras de surveillance dans des prisons, des commissariats de police et des installations de Tesla. La brèche a permis au collectif de pirates de regarder à travers les lentilles du réseau de sécurité de Verkada, qui comprend des clients tels que des hôpitaux psychiatriques, des cliniques de santé pour femmes, et même l’école primaire de Sandy Hook. Un développeur nommé Tillie Kottmann, appartenant au groupe, s’est adressé à Reuters.
Parmi les entreprises dont les images ont été exposées figurent le constructeur automobile Tesla Inc. et le fournisseur de logiciels Cloudflare Inc. De plus, les pirates ont pu visionner des vidéos de l’intérieur des cliniques de santé pour femmes, des hôpitaux psychiatriques et des bureaux de Verkada lui-même. Certaines des caméras, y compris dans les hôpitaux, utilisent la technologie de reconnaissance faciale pour identifier et classer les personnes capturées sur les images. Les pirates informatiques disent avoir également accès à l’ensemble des archives vidéo de tous les clients de Verkada.
L’une des vidéos auxquelles les intrus ont eu accès montre des officiers dans un poste de police à Stoughton à Massachusetts, interrogeant un homme menotté. Les pirates informatiques disent avoir également eu accès aux caméras de sécurité de l’école primaire Sandy Hook à Newtown, Connecticut, où un homme armé a tué plus de 20 personnes en 2012.
Les hackers ont également eu accès à 330 caméras de sécurité à l’intérieur de la prison du comté de Madison à Huntsville, en Alabama. Les images partagées avec certains médias montrent que les caméras à l’intérieur de la prison, dont certaines sont cachées dans des évents, des thermostats et des défibrillateurs, suivent les détenus et le personnel correctionnel en utilisant la technologie de reconnaissance faciale. Les hackers disent avoir pu accéder à des flux en direct et à des vidéos archivées, parfois même à des fichiers audio, d’entretiens entre des policiers et des suspects, le tout dans la résolution haute définition 4K.
Selon Kottmann, l’un des membres du collectif international de hackers qui a piraté le système, le piratage visait à montrer à quel point les caméras de sécurité de l’entreprise sont courantes et à quel point elles peuvent être facilement piratées. Kottmann a aussi déclaré que leurs raisons de pirater sont « beaucoup de curiosité, la lutte pour la liberté d’information et contre la propriété intellectuelle, une énorme dose d’anticapitalisme et un soupçon d’anarchisme ».
Dans une déclaration, Verkada a reconnu une intrusion et un représentant de la société a commenté : « Nous avons désactivé tous les comptes des administrateurs internes pour empêcher tout accès non autorisé. Notre équipe de sécurité interne et notre société de sécurité externe enquêtent sur l’ampleur et la portée de ce problème potentiel ». La société a ajouté que le groupe a perdu l’accès aux flux en direct et aux archives de la société, en ajoutant que les clients de la société ont été prévenus et qu’une chaîne de communication dédiée est en place pour répondre à leurs questions.
Kottmann a déclaré que Verkada avait coupé leur accès quelques heures avant que le premier rapport sur l’attaque ne soit publié mardi. Il a partagé des captures d’écran sur Twitter, y compris une capture de l’intérieur d’un entrepôt de Tesla en Californie. « Vous vous êtes déjà demandé à quoi ressemble l’intérieur d’un entrepôt de Tesla ? », a tweeté mardi un compte baptisé « tillie crimew ».
Le compte des hackers a aussi publié d’autres captures d’écran pour montrer qu’ils ont eu accès aux systèmes de surveillance informatique utilisés par plusieurs sites de la chaîne de salles de sport de luxe Equinox.
Un accès via un compte “Super Admin“, avant d’avoir l’accès root aux caméras de Verkada
Le piratage était apparemment relativement simple : le groupe a réussi à obtenir un accès de niveau “Super Admin” au système de Verkada en utilisant un nom d’utilisateur et un mot de passe qu’ils ont trouvés exposés publiquement sur Internet. De là, ils ont pu accéder à l’ensemble du réseau de l’entreprise, y compris l’accès root aux caméras elles-mêmes, ce qui a permis au groupe d’accéder aux réseaux internes de certains clients de Verkada.
Le piratage « montre à quel point nous sommes surveillés, et combien peu de soin est mis à sécuriser les plateformes utilisées pour le faire, ne recherchant rien d’autre que le profit », a déclaré Kottmann. « C’est fou comme je peux voir les choses que nous avons toujours su qu’il se passait, mais que nous n’avons jamais pu voir ». Kottman a déclaré qu’ils ont obtenu l’accès au système de Verkada lundi matin. Il a refusé d’identifier les autres membres du groupe.
Le groupe de hackers, s’il avait choisi, aurait pu utiliser son contrôle sur l’équipement de la caméra pour accéder à d’autres parties des réseaux de la société Tesla et des fabricants de logiciels Cloudflare Inc et Okta Inc, selon Kottmann. Cloudflare a déclaré, selon Reuters, que ses mesures de sécurité sont conçues pour empêcher qu’une petite fuite ne se transforme en une intrusion plus importante, et qu’aucune donnée client n’a été affectée. Tesla et Okta n’ont pas répondu aux demandes de commentaires de l’agence de presse.
Verkada, fondé en 2016, est fier de proposer des caméras de sécurité connectées à Internet, promettant une “approche logicielle” de la Silicon Valley pour rendre la sécurité “aussi transparente et moderne que les organisations que nous protégeons”. Les caméras connectées au Cloud comprennent une interface Web très pratique permettant aux entreprises de surveiller leurs flux et proposent également un logiciel de reconnaissance faciale (en option).
Verkada indique sur son site Web qu’il compte plus de 5200 clients, dont des villes, des collèges et des hôtels. Ses caméras se sont révélées populaires parce qu’elles s’associent à des logiciels permettant de rechercher des personnes ou des objets spécifiques. Les utilisateurs peuvent accéder aux flux à distance par le biais du Cloud. Dans une interview accordée à Reuters en 2018, le directeur général Filip Kaliszan a déclaré que Verkada avait délibérément facilité pour de nombreux utilisateurs d’une organisation la possibilité de regarder des flux vidéo en direct et de les partager en toute sécurité, par exemple avec les intervenants d’urgence.
En janvier 2020, la société a levé 80 millions de dollars de capital-risque, évaluant la société à 1,6 milliard de dollars. Parmi les investisseurs figurait Sequoia Capital, l’une des plus anciennes entreprises de la Silicon Valley.
La société a également été critiquée par le passé pour des accusations de sexisme et de discrimination après un incident survenu en 2019, au cours duquel des directeurs des ventes ont utilisé les caméras de sécurité du bureau de Verkada pour harceler des collègues féminines en les photographiant secrètement et en publiant des photos d’elles sur un canal Slack de la société. En réponse, le PDG de Verkada a licencié les trois personnes qui ont été à l’origine de cet incident, pour « un comportement flagrant à l’égard de leurs collègues, et négligence de signaler ce comportement malgré leurs obligations en tant que directeurs ».
Les hackers ont eu accès à une liste de comptes d’utilisateurs Verkada, y compris ceux des milliers d’organisations. La liste des clients qui utilisent Verkada est large : outre des sociétés comme Tesla et Cloudflare, le groupe a eu accès aux caméras Verkada à l’intérieur de Halifax Health, un hôpital de Floride ; de l’école primaire Sandy Hook à Newtown ; de la prison du comté de Madison à Huntsville, Alabama ; et du centre médical régional de Wadley, un hôpital de Texarkana, Texas. En plus des images de la caméra, le groupe affirme également avoir pu accéder à la liste complète des milliers de clients de Verkada et à ses informations financières privées.
« Si vous êtes une entreprise qui a acheté ce réseau de caméras et que vous les installez dans des endroits sensibles, vous ne vous attendez peut-être pas à ce qu’en plus d’être surveillé par votre équipe de sécurité, un administrateur de l’entreprise de caméras vous surveille également », a déclaré Eva Galperin, directrice de la cybersécurité à l’Electronic Frontier Foundation, qui a été informée de la brèche.
« Il y a de nombreuses raisons légitimes d’avoir une surveillance à l’intérieur d’une entreprise », a ajouté Galperin. « La partie la plus importante est d’obtenir le consentement éclairé de vos employés. Habituellement, cela se fait à l’intérieur du manuel de l’employé, que personne ne lit ».
La société « se présente comme une alternative “plus sûre et plus facile à mettre à échelle” que les réseaux internes d’enregistrement vidéo », a réagi Rick Holland, responsable de la sécurité chez Digital Shadows, une entreprise de cybersécurité. Mais cette intrusion est « un exemple des risques associés à la délocalisation de ce type de services à des fournisseurs de Cloud ».
Réponse d’Okta : « Chez Okta, rien n’est plus important pour nous que la sécurité et la sûreté de nos clients, de nos employés et de leurs données. Mardi, nous avons pris connaissance d’un rapport concernant Verkada et Okta. Le service Okta n’a pas été touché. Nous continuons à enquêter sur la situation et fournir des mises à jour au fur et à mesure que des informations supplémentaires pertinentes seront disponibles. »
source : developpez