La vidéosurveillance est un système de caméras et de transmission d'images, permettant de faire de la surveillance à distance. Le terme « CCTV » (closed Circuit TV) mentionne le caractère fermé (ou restreint) de la diffusion des images vidéos, par opposition avec le « Broadcast TV ». Nous utiliserons CCTV ou vidéosurveillance indifféremment dans cet article.
1. Introduction
L’industrie de la vidéosurveillance a fait un bond technologique significatif ces dernières années. Autrefois analogiques, la plupart des systèmes de vidéosurveillance vendus aujourd’hui fonctionnent avec un réseau IP. Les avantages sont nombreux : consultation à distance des flux en passant par l’Internet, gestion simplifiée des archives, utilisation de métadonnées IP. Cette dernière fonction permet d'ajouter de l'information contextuelle dans les données non structurées que sont les images vidéos facilitant ainsi les investigations ou l'archivage. Les systèmes CCTV sont aussi de plus en plus intégrés dans des systèmes beaucoup plus larges. La vidéosurveillance constitue un simple composant permettant de gérer une ville intelligente par exemple.
De par la multiplication des fonctionnalités et le fonctionnement des protocoles associés, le passage à l’IP représente un défi au niveau de la sécurité et c’est ce que nous explorerons ici. Nous verrons l’historique de l’industrie, comment les éléments d’un système de vidéosurveillance interagissent entre eux, les problèmes potentiels et comment s’en prémunir.
2. Bref historique de la vidéosurveillance
Historiquement dominées jusque dans les années 2008 par les caméras analogiques de définition standard, les caméras IP de l’époque étaient beaucoup plus chères que leurs équivalents analogiques. Certaines caméras IP ayant des résolutions allant jusqu’au mégapixel existaient, mais le seul encodage vidéo disponible à l’époque, le Motion JPEG ou MJPEG, offrait un ratio de compression peu intéressant rendant ainsi la transmission et l’archivage plutôt onéreux.
L’adoption, à partir de 2008, d’un nouvel algorithme d’encodage appelé H.264 ou MPEG-4 Advanced Video Coding, le même que celui utilisé pour les disques Blu-Ray, par les acteurs de l’industrie, changea progressivement la donne [1]. Les caméras IP étant maintenant en mesure d’offrir de la vidéo en haute définition sans que les coûts d’archivage explosent, les consommateurs se tournèrent de plus en plus vers cette option davantage appropriée à un contexte de vidéosurveillance [2].
Pour comprendre l’avantage procuré par une caméra HD, il convient de se remémorer tous ces films d’espionnage où un agent secret doit traverser un périmètre sans se faire repérer par une caméra balayant une zone de gauche à droite. Ce type de caméra, communément appelé PTZ pour « Pan-Tilt-Zoom », est en fait installé sur un moteur et permet d’être pointé dans la direction voulue. Une caméra PTZ possède aussi un zoom optique permettant de focaliser sur une zone plus étroite, cela réduit le champ de vision, mais permet d’observer cette zone spécifique plus en détail. De par leur faible résolution, il était donc difficile pour les caméras SD de filmer une large zone complètement en capturant un niveau de détail suffisant d’où l’intérêt des caméras PTZ. Ce type de caméra communément utilisé dans le monde analogique est donc beaucoup moins nécessaire depuis l’avènement des caméras HD. Avec une caméra HD, il suffit simplement de filmer la zone voulue en entier et d’utiliser un zoom numérique si plus de détails sont requis.
En 2017, les caméras IP de type haute définition dominent largement le marché de la vidéosurveillance [3]. Étonnement, les caméras analogiques débutent leur retour en force, celles-ci offrant elles aussi maintenant de la haute définition pour un prix environ moitié moindre comparé aux caméras IP. Du point de vue de la cybersécurité, cela offre aussi des avantages dans le cas des caméras installées dans des zones à risque. Certaines banques considèrent par exemple l’extérieur de leur bâtiment comme étant une zone à risque puisqu’il est plus facile pour un attaquant d’obtenir un accès physique à cette zone. Conséquemment, elles n’installent pas caméras IP à l’extérieur de leur bâtiment, car elles craignent qu’un attaquant utilise le câble RJ-45 de la caméra pour pénétrer leur réseau interne.
Depuis les dernières années, l’industrie fut aussi témoin de profonds bouleversements avec une montée en puissance des fabricants chinois. Vendant des caméras peu comparables en termes de qualité avec le reste de l’industrie en 2010, ceux-ci ont maintenant des produits relativement comparables pour un coût 3 fois moins élevé. Cette pression à la baisse sur les prix n’est probablement pas prête de s’arrêter. À titre d’exemple, la compagnie Hikvision, contrôlée par le gouvernement chinois, a reçu en 2015 un financement de 3 milliards de dollars et entend consacrer 50% de cette somme pour le marché occidental.
3. Les éléments d'un CCTV
Les 2 éléments majeurs d’un système CCTV sont les caméras et le système de gestion de la vidéo (appelé VMS pour Video Management System en anglais). Ces 2 éléments sont typiquement fabriqués par des manufacturiers différents, ils doivent donc être interopérables.
Les caméras IP sont des systèmes embarqués fonctionnant sous divers systèmes d’exploitation. En ordre de popularité, ils utilisent : Linux, ou un système d’exploitation privé ou Windows. L’alimentation électrique des caméras est typiquement assurée directement au travers de la connexion RJ-45 en utilisant la norme « Power over Ethernet ». Les caméras utilisent habituellement un serveur web permettant aux utilisateurs de les configurer et aussi de visionner les vidéos. Les caméras d’aujourd’hui ont une puissance de calcul relativement grande et permettent de faire de l’analyse d’image telle de la détection de mouvement. Cette analyse peut servir par la suite à déclencher des évènements pour avertir l’utilisateur d’une situation anormale. Ainsi, une caméra pointée vers une porte ne devant jamais s’ouvrir pourra être configurée pour générer un évènement lorsqu’elle détecte du mouvement. L’évènement sera acheminé au VMS qui se chargera d’alerter l’utilisateur en lui envoyant un courriel.
La plupart des VMS fonctionnant sur IP sont bâtis selon le paradigme client – serveur. Le client fournit une interface graphique permettant à l’utilisateur de visionner la vidéo en temps réel ou en différé et de configurer les caméras. Le rôle du serveur est de communiquer avec les caméras, d’enregistrer la vidéo pour un temps donné et de répondre aux requêtes des clients. L’intérêt d’utiliser un VMS, par opposition à l’utilisation directe des pages web des caméras, tient en sa capacité à gérer un grand nombre de caméras de façon conviviale. Les fonctionnalités typiquement offertes par un VMS sont la découverte des caméras sur le réseau, la configuration et le visionnement de celles-ci au travers d’une interface unifiée, la gestion avancée des archives vidéos et le watermarking garantissant l’intégrité de la vidéo. Plus précisément, cette dernière fonctionnalité permet de démontrer devant une cour de justice que la chaîne de contrôle de la vidéo n’a pas été brisée lors de l’exportation de vidéo et donc que la vidéo n’a pu être altérée.
4. Les protocoles
On divise les entrées et sorties d’une caméra en deux canaux distincts : le canal de commande et de contrôle et le canal multimédia. Comme mentionné précédemment, les manufacturiers de caméras offrent pratiquement tous de nos jours un serveur web permettant de configurer leur appareil. Il est donc naturel d’acheminer les commandes du canal de commande et de contrôle par le protocole HTTP. Les manufacturiers fournissent aussi une API permettant d'interagir avec leurs unités de façon automatisée. La plupart des manufacturiers bâtissent leur API en utilisant le protocole HTTP. Les plus anciens utilisent plutôt un protocole binaire. Il est à noter que lorsqu’un VMS communique avec une caméra, la partie serveur du VMS agit typiquement en tant qu’initiateur de la connexion vers la caméra. Les caméras agissent donc ici en tant que serveur. Cela explique pourquoi les manufacturiers de caméras sont ceux qui définissent l'API et non pas l’inverse. Par conséquent, un VMS voulant intégrer une multitude de caméras dans son produit devait, dans le passé, supporter chacune des API de ces caméras. Afin de simplifier l’intégration et améliorer l’interopérabilité, un consortium de fabricants créa en 2008 un standard de communication appelé ONVIF (Open Network Video Interface Forum [4]) spécifiquement pour l’industrie de la sécurité physique fonctionnant sur réseau IP. Ce standard a été progressivement adopté par l’ensemble de l’industrie et s’impose aujourd’hui comme un incontournable.
La plupart des marques de caméras offrent aussi la possibilité de configurer un certificat X.509 afin d’échanger des informations de façon sécurisée. Les protocoles HTTPS et TLS sont donc aussi utilisés pour protéger le canal de commande et contrôle. Les choix de la suite cryptographique (cipher suite) TLS sont variables d'un fournisseur à l'autre et incluent la possibilité d'utilisation d'algorithmes non recommandés comme RC4, DES ou SHA1. Le protocole RTSP est quant à lui typiquement utilisé afin de contrôler les flux multimédias. Il agit à ce titre véritablement comme une télécommande : il permet de démarrer, arrêter, mettre en pause et de naviguer au travers d’un contenu multimédia.
Les protocoles utilisés pour les flux multimédias varient quant à eux largement en fonction de la situation. L’audio et la vidéo sont habituellement transportés à l’aide du protocole RTP, cependant le choix du protocole au niveau de la couche transport du modèle OSI varie. En effet, on préfère l’utilisation du protocole UDP pour transporter la vidéo en temps réel afin de ne pas introduire de latence et l’utilisation du protocole TCP lors du visionnement de la vidéo en différé lorsque l’intégrité du contenu prime. L’utilisation du multicast dans les réseaux IP est répandue lorsque que la caméra et la partie cliente du VMS sont sur le même réseau local : le flux vidéo peut ainsi être acheminé directement de la caméra à l’un ou plusieurs clients sans être retransmis par la partie serveur du VMS.
Les composants d'un VMS sont habituellement distribués sur plusieurs machines différentes et reliés entre eux par un réseau IP passant parfois au travers d'Internet. Les composantes internes d'un VMS utilisent typiquement une combinaison de protocoles propriétaires et de protocoles standards.
5. L’aspect cybersécurité
Étonnement, l’aspect cybersécurité de l’industrie de la sécurité physique est un peu à la traîne par rapport à certaines autres industries. Pendant plusieurs années, les manufacturiers ont présumé que leurs produits étaient utilisés dans des réseaux IP fermés et donc peu d’efforts ont été investis pour les rendre résilients contre des acteurs malveillants. Aujourd’hui, cette présomption n’est plus applicable. Une ville intelligente voudra par exemple installer ses caméras dans des endroits publics et les relier par Wifi à son VMS. Certains manufacturiers de VMS offrent aussi des produits où les caméras sont directement reliées à un cloud et où les vidéos sont consultables en ligne.
En ce sens, l’année 2016 tira certainement la sonnette d'alarme sur les lacunes en cybersécurité de certaines caméras suite à l’attaque très médiatisée du botnet Mirai. En asservissant une armée de caméras IP dont les mots de passe par défaut n’avaient pas été changés ; ce dernier déclencha, contre le site web du journaliste américain Brian Krebs [5], la plus grosse attaque par déni de service jamais observée à cette époque.
Pour expliquer la situation, il importe ici de faire la distinction entre les produits de vidéosurveillance grand public et ceux destinés aux professionnels. À notre sens, la source principale de l’insécurité des produits grands publics vient du fait que le marché est très compétitif et que les fabricants cherchent à dépasser les autres constructeurs sur les fonctionnalités, la vitesse de mise en marché et le prix de leurs produits. La cybersécurité s’en trouve amoindrie, car elle est plutôt contraire à ces objectifs. Respectivement : l’ajout de fonctionnalités augmente la surface d’attaque d’un produit, la réduction des risques liés à la cybersécurité nécessite l’ajout d’activités de validation à chacune des étapes du cycle de développement s’opposant ainsi à une augmentation de la vitesse de mise en marché. L’ajout de ces activités de sécurité tire vers le haut le coût de développement des produits faisant ainsi pression sur la marge de profit et ultimement le prix du produit. À cela vient s’ajouter la difficulté de mettre à jour un firmware d’un produit peu dispendieux utilisé chez un client et l’indifférence de ces derniers quant au fait que leur équipement peut être utilisé avec des dizaines voire des centaines de milliers d'autres pour attaquer un site web.
La situation est un peu différente pour les produits haut de gamme destinés aux entreprises ou aux forces de l'ordre. Dans ces cas-ci, la pression sur les prix ou la vitesse de mise en marché n’est plus un facteur majeur. Par contre, les systèmes sont souvent complexes. Plusieurs installateurs de systèmes de vidéosurveillance sont des vétérans du monde analogique et ne sont pas nécessairement parfaitement confortables avec tous les concepts associés aux technologies de l’information. Cela est d’autant plus vrai pour l’aspect cybersécurité de ces systèmes. Les fonctionnalités de sécurisation sont donc souvent présentes, mais ne sont pas nécessairement bien configurées ou utilisées.
Certaines contraintes rendent l’application des bonnes mesures de cybersécurité du monde des technologies de l’information difficiles à appliquer au monde de la vidéosurveillance. Le fait que la grande majorité des systèmes de vidéosurveillance fonctionne en circuit fermé sans accès à l’Internet rend plus difficilement applicable l’utilisation de certificats X.509 par exemple. Comment établir un lien TLS entre un VMS et une caméra si ceux-ci ne peuvent pas s’appuyer sur une tierce partie de confiance afin de valider l’identité de l’un et l’autre ? Cette fonction est naturellement remplie par les autorités de certification sur Internet, mais elle ne fonctionne pas facilement sans un lien vers l’extérieur. Une autre solution pourrait être de s’appuyer sur un secret connu par les 2 parties, mais le fait que le fabricant de la caméra et le fabricant du VMS ne sont pas nécessairement le même, rend cette solution non triviale à implémenter. Dans la pratique, l’usage de protocoles sécurités TLS et HTTPS pour protéger les données en transit est offert depuis longtemps par les fabricants, mais est généralement peu utilisé de par la complexité à déployer les solutions et l’expertise requise pour le faire.
Les choses changent dans le monde de la vidéosurveillance. Les attaques médiatisées des derniers mois ont augmenté la prise de conscience des clients et les manufacturiers ont réagi en renforçant leurs produits face aux cyberattaques. Ceux-ci offrent de nouvelles fonctionnalités renforçant la confidentialité, l’intégrité ou la disponibilité des données. Certains fabricants offrent par exemple maintenant la possibilité d’assurer la confidentialité des données vidéo non seulement par l’utilisation du protocole TLS en transit, mais aussi en chiffrant les archives vidéos lorsqu’elles sont sauvegardées sur le disque.
6. Comment se protéger au niveau des caméras
Aucun manufacturier ne peut garantir que ses produits sont exempts de vulnérabilités. Cela ne veut pas dire que tous les manufacturiers sont égaux. Afin de comprendre cette nuance, il est utile ici d’introduire la notion de risque. La définition d’un risque est la probabilité qu’une menace se concrétise multipliée par l’impact que celle-ci aurait si jamais elle se concrétisait. Le but d’un utilisateur est donc de réduire son risque au maximum.
La première étape pour un consommateur soucieux de la cybersécurité des caméras qu’il prévoit se procurer consiste à bien choisir son produit [6]. Il doit bien faire ses devoirs, car il existe de grandes disparités entre les manufacturiers de caméras au niveau de la cybersécurité. Certains travaillent activement sur le sujet tandis que d'autres s'en soucient peu.
Il peut être difficile pour un consommateur de déterminer le niveau de maturité d'un fabricant [7] à cet égard. À moins d’être en position d’évaluer son processus de développement de produit, un consommateur doit habituellement mesurer le niveau de cybermaturité d’un fabricant de façon indirecte. La présence des indices suivants est un bon indicateur : le fabricant devrait avoir une page traitant de la sécurité de ses produits sur son site web, cette page devrait inclure une politique publique expliquant aux chercheurs en sécurité comment lui rapporter des vulnérabilités découvertes dans ses produits, elle pourrait aussi inclure une liste de vulnérabilités découvertes par les chercheurs. L'existence d'un guide de configurations de produits spécifiquement créé pour la cybersécurité (appelé « hardening guide » en anglais) est aussi un bon indice. Enfin, plusieurs standards relatifs à la cybersécurité encadrant le processus de développement de produits existent actuellement. L’adhésion ou la conformité par le manufacturier à l’un de ces standards est un autre bon signe. Des exemples de standards pertinents incluent : la suite de standard ISO 27000, le standard ISO 15408 aussi appelé « common criteria », la série de standards UL 2900 de l’organisme américain Underwriters Laboratories et le cadre de cybersécurité développé par l’organisme de standardisation américain NIST. Ces indices serviront donc à guider le choix du consommateur quant au manufacturier à choisir, car ils l’aident à déterminer le risque associé à chacun des fabricants.
Une fois le choix du matériel effectué, l’étape suivante consiste à configurer la caméra correctement [8]. Pour ce faire, il est approprié d’utiliser les fonctionnalités offertes par le fabricant. La plupart des fabricants de caméras offrent des guides de configurations de produits spécifiquement créés pour la cybersécurité. Ces guides contiennent des recommandations quant aux paramètres à modifier afin de réduire la surface d’attaque le plus possible. Les paramètres les plus importants à modifier sont dans l’ordre : remplacer le mot de passe par défaut par un mot de passe long, unique et aléatoire ; effectuer une mise à jour du firmware des caméras ; configurer les caméras pour qu’elles utilisent le protocole HTTPS pour toutes leurs communications et désactiver les fonctionnalités non utilisées. Si cela n’est pas nécessaire, il est recommandé de ne pas exposer les caméras directement sur Internet. La configuration des caméras étant l’un des rôles normalement assurés par le VMS, il serait normal de s’attendre à ce que ce dernier optimise aussi l’aspect cybersécurité de leur configuration. Malheureusement, il n’en est rien actuellement. Cela représente sans doute un aspect que les VMS amélioreront dans le futur.
Au niveau sécurité, il est utile de se représenter une caméra non pas comme un système embarqué spécialisé, mais simplement comme un ordinateur doté d'une lentille optique et envoyant des paquets sur un réseau IP. C’est avec cette idée en tête qu’un pirate tentera d’attaquer une caméra. En fait, il est possible que le pirate n’ait même pas conscience que l’appareil auquel il envoie des paquets soit en fait une caméra. En conséquence : il convient pour protéger une caméra d’appliquer les mêmes pratiques en matière de défense des systèmes de technologie de l’information que pour n’importe quel autre nœud réseau. Cela inclut sans se limiter : connecter la caméra à un segment réseau dédié à la vidéosurveillance, restreindre l’accès à ce segment seulement aux personnes ou systèmes ayant besoin d’interagir avec le système de vidéosurveillance et filtrer les ports et les paquets pouvant circuler sur segment.
7. Comment se protéger au niveau du VMS
Comme pour les caméras, le système de gestion vidéo doit être approché comme un ensemble de composants en réseau interagissant entre eux. Les mêmes recommandations, quant aux choix du manufacturier de VMS, quant à la façon de configurer le produit et quant aux bonnes pratiques en matière de systèmes TI à implémenter, s’appliquent. Les différences entre une caméra et un VMS de type professionnel résident dans le fait que les composants de ce dernier sont habituellement distribués sur plusieurs machines distinctes et donc que la surface d’attaque est plus grande. Cela est d’autant plus vrai que plusieurs utilisateurs différents utilisent habituellement un VMS par opposition à une caméra qui est exploitée exclusivement par un VMS. Les VMS ont aussi souvent un client mobile en plus d’une interface web et d’un client natif.
8. Comment auditer un réseau de vidéosurveillance
Les techniques traditionnellement utilisées pour auditer un système connecté à un réseau sont parfaitement appropriées pour auditer un système de vidéosurveillance. Celle-ci incluent : utiliser le renseignement d’origine source ouverte (OSINT ou « Open Source Intelligence » [9] en anglais) pour trouver des vulnérabilités connues, énumérer les mots de passe par défaut permettant ainsi d’exploiter des systèmes mal configurés, utiliser un scanner de vulnérabilités permettant d’automatiser la découverte de problèmes, utiliser la technique du fuzzing permettant de trouver des crashs mémoires potentiellement exploitables et effectuer des tests de pénétrations manuels permettant de trouver des failles de type 0-day.
Il en est de même pour la sécurité du périmètre contenant les différents éléments d’un système de vidéosurveillance. Elle pourrait être mise à l'épreuve par un audit réseau. On notera aussi que les faiblesses de certains protocoles et leurs mécanismes de validation comme le DNS ou le NTP peuvent affecter la sécurité du service de vidéosurveillance.
Références
[1] Article sur le standard H.264 : https://ipvm.com/reports/h264-makes-megapixel-go-mainstream
[2] Historiques de la vidéosurveillance : https://ipvm.com/reports/history-video-surveillance
[3] Pourquoi le marché s'est déjà tourné vers l'IP : https://ipvm.com/reports/the-market-has-tipped-to-ip
[4] Open Network Video Interface Forum : www.onvif.org
[5]krebsonsecurity.com/2017/01/who-is-anna-senpai-the-mirai-worm-author/
[6] Guide des camera HD analogues et IP 2017 (accès limité) : https://ipvm.com/reports/hd-analog-2015
[7] Comparatif des manufacturiers Cyber Security Compared : https://ipvm.com/reports/cyber-compare
[8] Guide de sécurité des caméras (PDF) : https://ipvm.com/book
[9] Open Source Intelligence : en.wikipedia.org/wiki/Open-source_intelligence