Système de vidéosurveillance : attention à la sécurité logique

En mars 2021, on apprenait que des hackeurs se présentant comme des militants anticapitalistes opposés à la vidéosurveillance avaient infiltré les flux vidéo de plus de 150 000 caméras qui utilisent les logiciels de la start-up californienne Verkada. Ils auraient trouvé sur le net le pseudo et mot de passe d’un administrateur informatique de la start-up.

Parmi les victimes, des hôpitaux, des prisons, des écoles mais aussi le constructeur automobile Tesla ou encore Clouflare, fournisseur de services pour de nombreux sites internet. Certaines images avaient été diffusées sur Twitter. En 2016, c’était le malware Mirai qui avait profité de vulnérabilités d’objets connectés, dont beaucoup de caméras, pour lancer des attaques massives en déni de service.

Pour éviter les cyberattaques et vols de données, les systèmes doivent être installés par les intégrateurs en respectant certaines règles de cybersécurité. Ils peuvent notamment s’appuyer sur le guide de recommandations sur la sécurisation des systèmes de contrôle d’accès physique et de vidéoprotection de l’Anssi (mise à jour des firmware, des logiciels, réseau dédié et protégé…). Ou encore sur le référentiel APSAD D32, qui définit les exigences techniques minimales auxquelles doivent répondre les systèmes de sécurité et/ou de sûreté raccordés à un réseau IP pour garantir un niveau de résistance aux attaques numériques dans des c