{"id":4561,"date":"2021-05-01T15:53:27","date_gmt":"2021-05-01T13:53:27","guid":{"rendered":"https:\/\/www.ass-security.fr\/blog\/?p=4561"},"modified":"2025-02-16T18:48:54","modified_gmt":"2025-02-16T17:48:54","slug":"piratage-150000-cameras-verkada-acces-super-utilisateur-tesla-cloudflare-banques","status":"publish","type":"post","link":"https:\/\/www.ass-security.fr\/blog\/piratage-150000-cameras-verkada-acces-super-utilisateur-tesla-cloudflare-banques\/","title":{"rendered":"News : Affaire Verkada, piratage de masse au sein de Verkada | 150 000 cam\u00e9ras de surveillance compromises (Tesla, Cloudflare…)."},"content":{"rendered":"\n

Force est de constater qu\u2019aujourd\u2019hui, bon nombre de fabricants souhaitent \u00e9viter plus que jamais tout impact m\u00e9diatique n\u00e9gatif<\/strong> sur leur entreprise et encore moins, suite \u00e0 un piratage de masse touchant leurs propres infrastructures ou celles de leurs clients<\/strong>\u2026 Les dix derni\u00e8res ann\u00e9es fut quelque peu marqu\u00e9es \u00e0 ce sujet par la pl\u00e9thore de scandales dont certains, restent encore marqu\u00e9s \u00e0 l\u2019encre rouge dans la m\u00e9moire des installateurs que nous sommes\u2009! Dahua<\/a><\/strong> avait essuy\u00e9 une salve d’attaques sur quasiment l\u2019ensemble de ses produits (cam\u00e9ras, NVR\/DVR) bas\u00e9e sur un acc\u00e8s administrateur exploitable \u00e0 distance avec pour r\u00e9sultat, la non-accessibilit\u00e9 des flux vid\u00e9o remplac\u00e9s par un \u00ab\u2009Hacked<\/strong>\u2009\u00bb visible \u00e0 l\u2019\u00e9cran\u2026 Totalement automatis\u00e9e, cette attaque pouvait revenir en boucle au grand dam de ses utilisateurs… Toute une \u00e9poque\u2009! Cette derni\u00e8re d\u00e9cennie ne semble avoir \u00e9pargn\u00e9e aucune marque et ce n\u2019est pas le sulfureux moteur de recherche d\u2019objets connect\u00e9s vuln\u00e9rable \u00ab\u2009Shodan.io<\/a><\/strong>\u2009\u00bb qui ira contrecarrer cette factualit\u00e9\u2026 Les objets connect\u00e9s ont toujours eu h\u00e9las, une mauvaise r\u00e9putation. <\/p>\n\n\n\n

Pourtant, bon nombre de fabricants sont devenus de parfaits \u00e9l\u00e8ves en mati\u00e8re de cybers\u00e9curit\u00e9 ce qui soulignons-le, est appr\u00e9ciable. Les num\u00e9ros 1 et 2 de la vid\u00e9osurveillance<\/a><\/strong> mondiale en sont le parfait exemple, avec une communication sans faille des vuln\u00e9rabilit\u00e9s critiques de leurs \u00e9quipements, un suivi des produits assez stricts avec des la publication de correctifs, l\u00e0 o\u00f9 quelques ann\u00e9es en arri\u00e8re un certain laxisme en mati\u00e8re de s\u00e9curit\u00e9 \u00e9tait l\u00e9gion. L\u2019hygi\u00e8ne informatique<\/strong> des installateurs\/int\u00e9grateurs a \u00e9galement \u00e9volu\u00e9e positivement avec une approche s\u00e9curitaire bien plus \u00e9labor\u00e9e. L’usage en masse des VPN (aid\u00e9 par la pand\u00e9mie), des combinaisons d\u2019authentifications fortes (l\u00e0 ou 5 ans en arri\u00e8re, certains fabricants limitaient \u00e0 6 caract\u00e8res le mot de passe\u2026\u2009!), de changement de ports par d\u00e9faut, ou encore, de la d\u00e9sactivation de toutes sortes de services sulfureux (UPNP<\/strong>, Telnet<\/strong>, etc.) sont partie int\u00e9grante du parfait installateur ! Selon la complexit\u00e9 de l\u2019installation, le d\u00e9ploiement d\u2019architectures s\u00e9curis\u00e9es en passant par une s\u00e9paration des r\u00e9seaux<\/strong> de mani\u00e8re physique ou logique peut avoir lieu et bien plus encore… Toutefois, c\u2019est bonnes pratiques n\u2019emp\u00eache en rien les scandales comme le d\u00e9montre l\u2019attaque perp\u00e9tr\u00e9e le 8 mars 2021 sur le fournisseur Californien de vid\u00e9osurveillance VSaaS<\/strong> bas\u00e9e sur le Cloud \u00ab\u2009Verkada<\/strong>\u2009\u00bb. Une attaque ayant expos\u00e9 de nombreuses cam\u00e9ras issues des usines et entrep\u00f4ts Tesla<\/strong> (222 cam\u00e9ras), des bureaux du g\u00e9ant Cloudflare c\u00f4t\u00e9 en bourse, de nombreux services publics aux \u00c9tats-Unis, h\u00f4pitaux, \u00e9coles, prisons ou encore, des commissariats de police\u2026<\/p>\n\n\n\n

News : Piratage de masse au sein de Verkada avec 150 000 cam\u00e9ras impact\u00e9es | Comment est-ce possible ?<\/h2>\n\n\n\n
\"\"<\/figure>\n\n\n\n

L\u2019attaque du 8 Mars dernier contre la startup Californienne Verkada<\/strong> fond\u00e9e en 2016 a \u00e9t\u00e9 initi\u00e9e par un groupe de hackers baptis\u00e9 \u00ab\u2009APT-69420 Arson Cats<\/strong>\u2009\u00bb. Cette op\u00e9ration baptis\u00e9e #OperationPanopticon<\/strong> a touch\u00e9 pr\u00e8s de 150\u2009000 cam\u00e9ras sur une p\u00e9riode d\u2019environ 36 heures\u2026 Des chiffres ramen\u00e9s \u00e0 la baisse avec 5 Gigaoctets de donn\u00e9es exploit\u00e9es pour environ 95 clients touch\u00e9s<\/strong> directement par cette cyberattaque. Dans cette attaque, la liste compl\u00e8te des clients de Verkada ainsi que de nombreuses donn\u00e9es financi\u00e8res de l\u2019entreprise semble \u00e9galement avoir fuit\u00e9e. De grands noms semblent avoir \u00e9t\u00e9 touch\u00e9s et l\u2019image de Verkada risque h\u00e9las, d\u2019en p\u00e2tir quelque peu\u2026 La m\u00e9diatisation de cette affaire par la publication de vid\u00e9os \u00e9manant des ateliers Tesla<\/strong> ou encore, des bureaux de l\u2019entreprise Cloudflare sur les r\u00e9seaux sociaux ne semble toutefois qu\u2019\u00eatre la partie \u00e9merg\u00e9e de l\u2019iceberg si l\u2019on se r\u00e9f\u00e8re aux communiqu\u00e9s du groupe de Hackers APT-69420 Arson Cats<\/strong>\u2026 <\/p>\n\n\n\n

La d\u00e9centralisation des donn\u00e9es<\/strong> par l\u2019usage de services sur le cloud de type VSaaS<\/strong> propos\u00e9s par des fournisseurs tels que Verkada apporte \u00e9galement son lot de probl\u00e8mes en comparaison aux solutions plus classiques, purement locales \u00e9tant certes, moins agiles. Deux \u00e9coles qui ont de nombreux arguments \u00e0 faire valoir rendant leurs oppositions parfois bien difficiles. Des faits que nous avions \u00e9voqu\u00e9s lors d\u2019un article d\u00e9di\u00e9 aux plateformes de type VSaaS<\/strong>. Le scepticisme de bon nombre d\u2019utilisateurs \u00e0 passer vers ce type de service \u00e0 la demande pour la gestion de leurs \u00e9quipements de vid\u00e9osurveillance risque de s’accro\u00eetre nourri par des scandales tels que Verkada d\u00e9montrant de mani\u00e8re tr\u00e8s factuelle, la fragilit\u00e9 d\u2019une plate-forme cloud<\/strong> et l\u2019absence de possibilit\u00e9 d\u2019une confiance aveugle envers les services sur le nuage\u2026<\/p>\n\n\n

\n\n