Une paire d'identifiants exposée en ligne, et c'est un réseau de 150 000 caméras de sécurité qui est compromis.

« Je n’ai même pas eu à utiliser autre chose que mon navigateur pour cette opération », fanfaronnait sur Twitter l’hacktiviste Tillie Kottman, quelques minutes avant la suspension de son compte. Elle a choisi le réseau social pour publier des captures d’écran prises depuis des caméras de surveillance de la startup Verkada. En tout, Kottman a eu accès le 9 mars au flux de plus de 150 000 caméras, situées dans toutes sortes d’organisations : commissariats, hôpitaux, écoles, prisons, et plusieurs entreprises réputées comme Tesla et Cloudflare.

Tillie Kottman se présente comme porte-parole du groupe « Arson Cats » (les « Chats Incendiaires », en français), une référence ironique aux noms grandiloquents que les chercheurs attribuent aux unités cybercriminels. À Bloomberg, la hackeuse non-binaire livre ses motivations : «  beaucoup de curiosité, le combat pour la liberté d’information et contre la propriété intellectuelle, une grande dose d’anticapitalisme, et une pincée d’anarchisme ». D’un ton plus sérieux, elle dénonce la facilité avec laquelle elle a infiltré l’entreprise de surveillance. En revanche, le groupe n’aurait cherché ni le profit financier ni la collecte d’information. L’opération telle que présentée relève juste du coup d’éclat, destiné à attirer l’attention.

Les hackers ont accédé à 222 caméras de surveillance situées dans des usines Tesla. // Source : Wikipedia

Les hackers sont devenus des « super admin »

Pour obtenir l’accès à l’intégralité des caméras de Verkada, on s’imagine que le groupe a exploité une chaîne de vulnérabilités complexes à l’aide d’outils de haut niveau. Et bien non, ce n’est absolument pas le cas. Les Arson Cats ont simplement trouvé un duo d’identifiants exposé publiquement dans un dépôt de code de Verkada. Ces identifiants permettaient de se connecter à un compte « super admin », c’est-à-dire un compte avec un très haut niveau d’autorisations.

Grâce à ce formidable passe-partout, ils ont pu disséquer l’activité de l’entreprise, et ouvrir pratiquement tous les accès. Kottman affirme que le groupe a ainsi mis la main sur l’intégralité des archives vidéos des clients de Verdaka, la liste de ses plus de 5 000 clients, ainsi que le bilan financier de la startup — un document confidentiel et critique pour ce genre d’entreprise en plein développement, dépendante de levées de fonds. Le compte super admin leur offrait aussi un accès à la racine des caméras. Autrement dit, ils n’avaient pas qu’un accès au flux vidéo, mais ils pouvaient aussi prendre le contrôle des caméras. Pire, les hackers auraient pu utiliser leur accès pour rebondir sur le système des clients de Verkada, et lancer d’autres attaques.

Le compte compromis a été bloqué

La startup est en phase de test d’une technologie de reconnaissance faciale destinée à identifier et catégoriser les personnes filmées. Appelée « People Analytics », elle permet de chercher et filtrer les personnes en fonction d’attributs physiques comme leur visage, leur apparence de genre, ou encore la couleur de leurs vêtements. Plusieurs géants du secteur, comme IBM, ont abandonné leurs projets autour de ce genre de technologie, dont les résultats finissent très souvent par accentuer les discriminations. Les hacktivistes voient les dérives de la technologie du même œil, d’autant plus quand elle est particulièrement mal protégée.

Verkada a bloqué les comptes exploités par le groupe après que Bloomberg leur a posé des questions. Puis la startup a déclaré au BleepingComputer : « nos équipes de sécurité internes et une entreprise de sécurité externe enquêtent sur l’échelle et la portée du problème, et nous avons averti les autorités ».

Crédit photo de la une : Person of Interest

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux