La transition numérique implique de nos jours une certaine rigueur en matière de cybersécurité. Associé à l’intelligence artificielle – IA, les attaques deviennent de plus et en plus sophistiquées et nécessitent une vigilance constante associée à une hygiène stricte en matière de sécurité. En quelques années, le paysage de la cybersécurité s’est totalement métamorphosé et touche tout les secteurs et domaines dont la vidéosurveillance, terrain de prédilection des Botnets. L’abondance d’objets connectés, les « Smart Home », systèmes de climatisations, de chauffages, ou autres « objets connectés » sont dans le collimateur des attaquants. Les fabricants, malgré leurs efforts n’implémentent pas toujours une sécurité de bout en bout au sein de leurs produits constituant ainsi des vulnérabilités exploitables en toute quiétude par les pirates. Cf. Article : Metasploit, AutoSploit & Shodan en environnement IoT, vers une automatisation du piratage des objets connectés ? L’absence de norme, de transparence ou encore, les lacunes de certains acteurs de l’IoT favorisent l’abondance d’attaques éthiques ou non.
La vague « d’exploits » qu’on connut les fabricants de caméras de vidéosurveillance sur la période 2016/2017 a permis à ces acteurs majeurs du marché, de prendre conscience des enjeux de la cybersécurité. Les fameux « BrickerBots » ou réseaux de zombies de type « Mirai » ont quelque peu terni l’image de la vidéosurveillance mondiale (et des objets connectés) avec de très nombreux acteurs touchés par des attaques automatisées et non ciblées très souvent initiée grâce au moteur « Shodan.io ». À ce jour, un certain calme ou plutôt une certaine confidentialité opère. Peu de « grosses » failles médiatiques sont relevées. Dahua ou encore Hikvision font dorénavant partie des bons voir excellents élèves et possèdent un pôle Cybersécurité avec la publication des vulnérabilités permettant aux utilisateurs l’application rapide des correctifs.
Le paysage des objets connectés et principalement, celui des caméras de vidéosurveillance n’est pour autant, pas des plus élogieux… Une simple recherche sur www.shodan.io nous dresse un tableau des (très) nombreux équipements de vidéosurveillance vulnérables laissés bien souvent avec l’éternel combo [admin/admin] ou encore [888888/88888] les rendant accessibles à tous. Les failles ex « 0-day » dorénavant connues de tous permettent à d’innombrables caméras de surveillance de restées vulnérables sans bénéficier des derniers correctifs émanant du fabricant. Des situations erratiques n’inquiétant en rien certains propriétaires. La cybersécurité est d’un coté, de plus en plus mature avec pour bon nombre de fabricants, une certaine hygiène dans l’implantation de mécanisme de sécurité. Toutefois il devient inquiétant de voir à qu’elle point la cybersécurité semble être aux mains des fabricants faute de normes suffisantes dans ce domaine en plein essor…
Dossier Cybersécurité 2019 : Attaques, Piratage, Caméra… Le « Island Hopping », un voyage d’îles en îles au gré des réseaux
Le Island Hopping était autrefois, une stratégie « militaire » qui consistait à s’emparer de petites îles au large des côtes ennemies afin d’arriver à l’objectif final. Une stratégie pertinente qui a porté ses fruits lors de la Seconde Guerre mondiale. Aujourd’hui, si l’on se réfère à Google, le « Island Hopping » s’apparente bien plus à un voyage d’îles en îles à la découverte des plus beaux lagons du globe, loin des ambitions stratégiques typiques du domaine militaire. Pourtant, en s’affairant avec quelque peu plus d’insistance sur la toile, on remarquera que ce tableau idyllique n’est en fait qu’un doux euphémisme. « L’Island Hopping » communément appelé « attaques par rebond » est bel et bien une menace, mais d’origine numérique à ce jour. Une cybermenace qui semble prendre une certaine ampleur depuis déjà quelques mois si l’on se réfère à la presse spécialisée relatant ce type d’attaques. Depuis ce début d’année (2019), près de 50% des cyberattaques perpétrées s’appuyaient sur ce type de méthodologies qui pourtant, ne date pas d’hier (chiffre de Carbon Black, Inc.).
« Exclusive : Multiple sources now say Indian IT outsourcing giant @Wipro is in the throes of dealing with a months-long breach in which intruders were seen using the company’s networks to attack and probe customer systems »
Brian Krebs (@briankrebs) 14 :24 – 15 avr. 2019 – Twitter
Les attaques par « Island Hopping » visent en premier lieu, l’atteinte d’un équipement secondaire (par ex. une caméra de surveillance, un routeur…) permettant un accès à la cible primaire (ex. un serveur de données contenant des informations). Un procédé rusé et stratégique dont la multinationale « Wipro Technologies » semble en avoir fait les frais en étant directement en ligne de mire d’une attaque de type « Island Hopping » (source. Brica.de – Mai 2019 et LookingGlass Cyber Solutions, Inc. 11 Juin 2019). Dans le cas de la multinationale indonésienne, l’attaque a commencé par cibler directement le fournisseur de services de sécurité managés (MSSP) pour déboucher sur l’entreprise Wipro. Un principe d’attaque identique, que ce soit sur un équipement secondaire (un enregistreur vidéo en réseau, une caméra de vidéosurveillance, une imprimante, un contrôleur de contrôle d’accès mal protégé…) ou d’un service (MSSP – Fournisseur de sécurité ayant accès à la cible primaire). Compte tenu des enjeux financiers, il est de nos jours parfaitement incongru de penser que les cyberattaquants ne manquent pas de ressources et ne redoubleront pas de dextérités pour orchestrer des attaques, qui seront fatalement de plus en plus sophistiquées. Une véritable « Cyberguerre » orientée, à des années-lumière de l’image du « Hacker – cliché » que bon nombre de médias continuent pourtant d’entretenir.
Dossier Cybersécurité 2019 : Attaques, Piratage, Caméra… Mirai Bot fait son grand retour pour 2019 !
En 2016, Mirai dévoilait son minois au grand public avec des affaires particulièrement médiatisées comme la paralysie de l’entreprise française OVH via son réseau de caméras de vidéosurveillance (attaque DDoS par « Machines Zombies » avec des pics jusqu’à 1 Tbps), le site de Brian Krebs, le géant américain Twitter ou encore, l’entreprise de résolution de nom de domaine « Dyn DNS »… Au fil du temps, Mirai était quelque peu retombé dans l’oubli voir pour certain, rentré dans les rangs. Le code source de Mirai rendu public rendu fin 2016 a donné naissance à de nombreuses variantes de ce célébrissime Botnet. À ce jour, les déclinaisons de Mirai permettent de cibler 4 familles de processeur (Altera Nios II, OpenRISC, Tensilica Xtensa ou encore Xilinx MicroBlaze) offrant des possibilités multiples d’attaques contre des caméras IP, équipements de stockage réseau, enregistreurs numériques, NAS, routeurs, télévision ou autres objets dits « connectés ».
« Our latest research on #Mirai uncovers new #exploits, brute-force capabilities in campaign that appears to target enterprise #IoT systems »
Unit 42 (@Unit42_Intel) 14 :24 – 18 mars 2019 – Twitter
Connu pour rechercher des équipements vulnérables afin de mieux se propager, Mirai, dans sa nouvelle version, compte à ce jour 27 exploits (Juin 2019) et s’adonne sans rechigner à la possibilité d’effectuer des attaques DDoS dites « HTTP Flood », son jeu favori ! S’appuyant sur des accès par défaut ou des failles anciennes n’étant pas « patchées » par les utilisateurs, Mirai et ses variantes continuent leur propagation en offrant dorénavant des possibilités d’attaque sur des accès Web entreprise (Oracle WebLogic) ou encore, des infrastructures réseau de type VWware SD Wan… Autant dire, Mirai risques de renaître de ses cendres de manière infini en se montrant de plus en plus performant…
Dossier Cybersécurité 2019 : Attaques, Piratage, Caméra… l’Intelligence artificielle « RPA » pour la détection des menaces
L’automatisation et l’utilisation de la « Robotic Process Automation - RPA » ou de manière plus francisée, « Robot Logiciel » devrait permettre à grande échelle, des avancées significatives en matière de cybersécurité. S’appuyant sur l’utilisation conjointe de l’IA et de l’apprentissage automatique (Machine Learning – ML), les outils RPA sont véritablement en train de se démocratiser permettant de facto, un bond considérable en matière de sécurité si l’on se réfère aux différentes études ayant analysé en détail cette technologie. Les tâches chronophages de détection, d’analyse ou encore de réponse pourront être déléguées à ces futurs acteurs, futurs assistants incontournables dans le domaine de l’entreprise.
On imagine des routines simples comme la recherche automatisée d’équipements vulnérables (une caméra de surveillance non patchée, un contrôleur obsolète, un paramétrage hasardeux…), la réinitialisation de certains comptes, la modification de certains privilèges, l’exécution de divers contrôles de sécurité, etc. Une stratégie visant à réduire le risque d’erreurs humaines particulièrement sur des actions ne demandant que peu de compétences intellectuelles. Des services particulièrement adaptés au monde actuel ou l’utilisation massive des services Cloud/SaaS (Logiciel en tant que Service) ou autre micro-service ne permettent pas toujours l’entière maitrise de la sécurité. Un déploiement mal sécurisé d’une solution de contrôle d’accès de type SaaS peut avoir des conséquences désastreuses sur la sécurité physique d’un ou plusieurs sites…
[Edit du 18/08/2019] Vulnérabilité critique du système de contrôle d’accès biométrique « BioStar 2 – Suprema ».
Cette « surenchérisation » du « tout cloud » et des infrastructures infonuagiques prive le contrôle et empêche bien souvent toute transparence en matière de sécurité. Les « Robot Logiciel » seront capables de manipuler de nombreuses datas, de s’adonner à différentes routines, traitements ou interrogations. Les outils RPA vont permettre à terme d’optimiser la sécurité en y appliquant une certaine rigueur avec un taux d’erreur quasi inexistant. Une véritable « main-d’œuvre numérique » qui nous attend dans les mois/années à venir. Revers de la médaille, il sera nécessaire d’évaluer ces nouveaux outils capables de se connecter à de nombreux équipements et surtout, stockant de nombreux identifiants… Des outils ayant la lourde tâche de devoir endosser la sécurité informatique d’une entreprise. Dans un futur proche, on imagine déjà les solutions de RPA bénéficiant d’un moteur décisionnel avancé… Toutefois, gardons-en tête que certains principes de précautions doivent être respecté compte tenu le climat actuel. Trop d’automatisation tue l’automatisation.
Dossier Cybersécurité 2019 : Attaques, Piratage & caméra de vidéosurveillance : Le cas récent de D-Link pointé par l’ESET
Récemment, l’ESET Research a publié un bulletin sur la vulnérabilité de certaines caméras D-Link. Plus précisément, la D-Link DCS-2132L, modèle qui possède des failles dans son micro-logiciel antérieur au second trimestre 2019. Des failles qui permettent aux attaquants l’interception des images vidéo ainsi que la modification du firmware interne à la caméra. En décembre 2017, nous évoquions les vulnérabilités en environnement « Cloud », plus précisément sur les connexions P2P. Cf. Article : Découvrir les technologies P2P, UPnP & Telnet – Vulnérabilités et Sécurité en environnement IoT. Dans cet article, nous mentionnons les risques d’avoir des flux de datas dit « en clair » sortant des caméras de surveillance en direction des Clouds fabricants. Des « risques » malheureusement devenus une réalité tangible que D-Link semble heureusement avoir corrigés à temps.
Toutefois, le risque subsiste que de nombreuses caméras restent « non patchées » favorisant dans ce cas les attaques « d’homme du milieu » (MitM – Man-in-the-middle attack) permettant l’interception des flux vidéo. D-Link proposait bien un tunnel de connexion sécurisé. Malheureusement celui-ci ne cryptait pas toutes les données et comme souligne l’ESET Research, les demandes d’adresses IP et MAC des caméras ainsi que les flux vidéos/audio et autres informations détaillées restaient non protégés lors des échanges. Pour information, une requête [HTTP] en [Localhost – 127.0.0.0.1] est élevée automatiquement au rang « ADMIN » donnant aux attaquants, les pleins privilèges de la caméra. La méthodologie de ce type d’attaque est clairement expliquée, mais ne sera pas évoquée dans cet article. À ce jour il est à souligner que D-Link à défaut de nombreuse « marque blanche » de vidéosurveillance propose des correctifs et améliore constamment la sécurité de ses produits. D-Link fait partie de ces acteurs se souciant de la cybersécurité de ses produits.
Dossier Cybersécurité 2019 : Attaques, Piratage, Caméra… Résumé : Entreprises et Cybercriminels tireront parti de l’IA
Dans un communiqué récent, Matthew Ball, analyste chez Canalys explique très simplement que compte tenu l’environnement politique et macro-économique de plus en plus complexe, le secteur de la sécurité est et sera à l’abri pendant de longues années. Des propos parfaitement en adéquations face à une menace de plus en plus présente. Ce marché particulièrement florissant risque encore de se voir quelque peu bousculé par l’arrivée imminente de l’intelligence artificielle. Dans une étude du Capgemini Research Institute, 69% des entreprises interrogées estiment que sans l’aide de l’intelligence artificielle, la détection et l’identification des attaques seront quasi impossible compte tenu la complexité actuelle des cyberattaques. Enfin, dans le très appréciable article « Why Today’s Cyber Risk Is Greater Than Your Customers Think » il est stipulé que les moyens mis en œuvre par les Hackers possèdent une longueur d’avance non des moindres faces aux mesures défensives que fabricants et entreprises déploient… Deux lignes qui résument parfaitement le climat de la cybersécurité dans le monde. En 2000 naissait le Virus « I Love You ». Un virus, dont la propagation s’effectuait en ouvrant une pièce jointe. 20 ans plus tard, les méthodes de propagation par fichier joint semblent toujours aussi bien fonctionner. À qui la faute ? Quoi qu’il advienne, les entreprises et les cybercriminels tireront parti de l’IA et du Machine Learning.
