Paste your Google Webmaster Tools verification code here

Dossiers

Sécurité : Shodan, le moteur de recherche des objets connectés

on

Parlons de Shodan, un moteur de recherche pour les objets connectés. Après quelques recherches et test, nous nous sommes rendu compte que ce site révèle de nombreuses failles de nos systèmes informatiques qui nous ont notamment permis de prendre le contrôle de caméras de surveillance partout dans le monde.

Présentation de Shodan

Shodan recherche à travers le web les adresses IP des objets connectés et les répertorie de manière intelligente : par type d’objet (webcam, imprimante, routeur, Dreambox, porte de garage connectée, …), par position géographique, par système d’exploitation, par constructeur et par plage d’adresses IP. Ce système de recherche permet de facilement trouver des objets connectés partout dans le monde. Le nombre de résultat par recherche est limité à 50 dans la version gratuite mais il est  possible d’avoir un accès total à la base de données du site pour 19 dollars.

Une page de résultat sur Shodan

Une page de résultat sur Shodan

Révélateur de failles

Lorsqu’on parcourt le site on découvre que les trois recherches les plus populaires sont Webcam, Netcam et Cams. En effet, les utilisateurs du site cherchent à avoir accès à des webcams non sécurisées qui sont bien souvent des caméras de sécurité connectées. Ici on ne parle pas de hacking puisque l’internaute clique seulement sur le lien répertorié par Shodan pour avoir accès au flux vidéo d’une caméra non sécurisée par mot de passe. Ayant nous-même essayé quelques liens, le résultat est plutôt déconcertant car nous avons pu prendre le contrôle de plusieurs caméras. Dans les images suivantes nous avons eu accès aux images d’une caméra PTZ (Pan Tilt Zoom).

shodan1

A gauche, une voiture et un garage …

shodan2

… et maintenant on tourne à droite pour admirer le paysage !

 

Lors de nos autres essais, nous avons accédé aux paramètres d’une caméra de surveillance dont il était possible d’activer le microphone intégré. La caméra étant située dans des bureaux, on peut facilement s’imaginer des scénarios d’espionnage industriel. De même, nous avons pu visionner le réseau de vidéosurveillance d’une supérette à l’étranger. Une personne malveillante peut donc sans aucun problème regarder les codes de cartes bleues des clients ou utiliser les vidéo pour organiser un braquage. Toutefois, pour avoir accès aux images, il nous était quand même demandé de nous identifier. Nous avons alors essayé le login Admin et le mot de passe 123456 et comme par magie nous avons réussi à nous connecter ! Ici, ce n’est pas le système informatique qui est en faute mais bien l’utilisateur qui a défini un mot de passe trop faible …
shodan 3

Des failles qui ne se limitent pas aux webcams …

Shodan ne répertorie pas que les caméras de surveillance mais bien tous les objets connectés qu’il peut trouver : systèmes de chauffage et de climatisation de bâtiments, stations d’épuration, barrages électriques, routeurs Internet, etc. Si ces objets connectés ne possèdent pas de mot de passe, ou un mot de passe très faible (123456, changeme, admin, Password) alors tout le monde peut les détourner et en prendre le contrôle. Dans son interview pour Vice, John Matherly, le fondateur de Shodan, partage ses découvertes comme le cyclotron, un accélérateur de particules : « C’est un engin de physique théorique, c’est très, très dangereux et ça n’aurait jamais dû être mis en ligne. […] Il n’y a pas d’authentification nécessaire, pas de mot de passe, rien. »

Keep calm and carry on

Comme l’explique son fondateur, « cette année est censée être celle de « l’Internet des objets ». Parce que la majorité des produits qui sort sont connectés à Internet. Mais ce que les gens ne réalisent sans doute pas, quand ils connectent leur écoute-bébé à Internet ou qu’ils font plein de choses à partir de leur téléphone, c’est les problèmes de sécurité que ça pose. Ce n’est pas parce que vous ne vous trouvez pas sur Google quand vous tapez votre nom qu’on ne peut pas vous chercher et vous trouver sur Internet ». Le message est clair, développeurs et utilisateurs ne négligez pas les procédures de sécurité de vos appareils connectés !

Le site Rue89 a également récemment testé Shodan et partage son expérience en vidéo.


« Mot de passe : désactivé », enquête à lire… par rue89

Source : lien

Commentaires

commentaires

About Thomas Graindorge

Fan de nouvelles technologies, je suis co-fondateur du site After the Web. N'hésitez pas à me contacter pour devenir à votre tour rédacteur sur le site.

Recommended for you

You must be logged in to post a comment Login

Leave a Reply