Cette question est essentielle dans le monde de la sécurité d’aujourd’hui, quand on se concentre sur les caméras de vidéoprotection. Faisant partie du monde de l'IoT, les caméras de sécurité d'aujourd'hui jouent un rôle important non seulement dans le domaine de la sécurité, mais également en fournissant des renseignements pour accélérer l'efficacité opérationnelle et la prise de décision dans de nombreux autres domaines d'activité. À mesure qu'elles deviennent plus intelligentes et plus complexes, leurs risques de cybersécurité augmentent également. Ces dernières années, le monde a connu plusieurs exemples d'incidents de cybersécurité avec des caméras, avec le « Mirai Botnet » comme l'un des exemples les plus connus. Le malware Mirai a profité des appareils IoT non sécurisés d'une manière simple mais intelligente. Il a scanné Internet à la recherche de ports Telnet ouverts, puis a tenté de se connecter avec des mots de passe par défaut. De cette manière, il a pu constituer une armée de botnets, en utilisant la puissance informatique de millions de caméras avec des mots de passe par défaut dans le monde entier[1].
Le Mirai Botnet a eu lieu en 2016 et, heureusement, la cybersécurité des appareils IoT s'est considérablement améliorée depuis. Mais certaines choses sont toujours les mêmes et/ou ne peuvent pas être modifiées. Mikko Hypponen, un cyber-évangéliste finlandais, est bien connu pour sa déclaration : « Si un appareil est intelligent, il est vulnérable ! ». Il montre avec cette déclaration que tous les appareils qui se composent de matériel et de logiciels, et qui sont connectés à Internet, ne sont pas sécurisés (et donc « piratables »). Bien qu'il ait fait cette déclaration il y a quelques années, elle est toujours vraie et très pertinente - un exemple de quelque chose qui n'a pas changé.
Complex systems are inviting for unauthorized hackers
Les caméras de sécurité sont des appareils IoT et sont donc vulnérables. Ils sont également abondants sur le marché sous plusieurs formes et sont conçus, développés et construits par plusieurs producteurs de différents pays. Les caméras actuelles sont si avancées sur le plan technologique qu'elles sont livrées avec de nombreux processus complexes et une puissance informatique intégrée.
Ces développements technologiques offrent d'incroyables capacités de sécurité innovantes, mais aussi de sérieux risques numériques. Les caméras sont constituées de composants matériels et logiciels avancés qui sont produits à la fois en interne et par des tiers. En raison de cette complexité, une telle caméra peut être considérée comme une sorte d'écosystème à part entière et il est extrêmement difficile de la protéger de manière globale contre les choses qui pourraient éventuellement mal tourner dans cet écosystème. Une caméra devient une surface d’attaque intéressante et invitante pour les « méchants ».
Heureusement, la cybersécurité a également évolué ces dernières années et il existe différents types de mesures de sécurité numériques pour les caméras qui peuvent être appliquées par les fabricants de caméras. Mais cela nécessite d'abord la volonté du fabricant de la caméra de consacrer des efforts et un budget à la sécurité de la caméra elle-même. Cela devient une question clé dans cette discussion.
Cybersecurity ‘built-in’ instead of ‘bolt-on’
Comme indiqué précédemment, toutes les caméras de sécurité sont vulnérables. Cependant, il est également vrai que plus il est difficile de pirater une caméra, plus il est probable qu’un cyberattaquant passe à une autre caméra plus facile à pirater. Les cyberattaquants sont très intelligents et sophistiqués, mais aussi très pragmatiques. Ils préfèrent les cibles faciles (s'ils obtiennent un résultat similaire). Un fabricant de caméras qui investit dans la construction d'une base de cybersécurité garantissant des caméras plus cyber-résilientes deviendra une cible moins favorable pour ces cyberattaquants, car ils préfèrent se concentrer sur des caméras qui génèrent les mêmes résultats avec moins d'effort (en d'autres termes ‘plus faciles à pirater’).
Tous les fabricants et clients de caméras doivent être pleinement conscients que plus leurs caméras sont cyber-résilientes, moins elles sont intéressantes pour les pirates non autorisés à y accéder. Cette cyber-résilience nécessite de sérieux investissements en cybersécurité dans une base solide, et l'un des investissements les plus efficaces est la mise en place d’un développement sécurisé dans le processus de production. Cela signifie que la cybersécurité est intégrée à chaque phase du processus de production et n'est pas considérée comme une réflexion après coup lorsque la caméra est produite et mise en œuvre sur le site du client. Le cycle de vie de développement sécurisé Hikvision (HSDLC) tel que décrit dans le livre blanc sur la cybersécurité de Hikvision [2] est un bon exemple de processus de production sécurisé par conception au sein de l'industrie de l'IoT.
Outre la mise en œuvre du Développement Sécurisé, il existe d'autres investissements en cybersécurité qui démontrent l'engagement d'une organisation envers la cyber-résilience fondamentale de son portefeuille IoT. Un Centre de Réponse de Sécurité est là, encore, un bon exemple. Ce centre est une équipe dédiée de professionnels de la cybersécurité qui répond et gère les incidents de sécurité & les questions de sécurité soumis par les clients[3].
Call to action
Ainsi, une caméra de sécurité est un appareil IoT et vulnérable pour les pirates qui recherchent un accès non autorisé. Mais il n'est pas nécessaire qu'il en soit ainsi, car les fabricants d'appareils photo peuvent améliorer considérablement la cybersécurité de leurs appareils IoT tant qu'ils prennent cette tâche très au sérieux et sont prêts à investir dans ses composantes fondamentales de sa cybersécurité. Le Développement Sécurisé et le Centre de Réponse de Sécurité ne sont que deux exemples de ces investissements. La question à se poser est de savoir si une entreprise en est consciente et est prête à investir dans la cybersécurité. Parce qu'à la fin de cette histoire, ce ne sont pas nécessairement les caméras d'une zone ou les caméras moins chères qui seront violées, mais les caméras de celles qui ne prennent pas la cybersécurité des produits au sérieux.
[1] https://www.csoonline.com/article/3258748/the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-internet.html
[2] https://www.hikvision.com/fr/support/cybersecurity/whitepapers/
[3] https://www.hikvision.com/fr/support/cybersecurity/report-an-issue/