2024-01-14 14:07:01
Tous les fabricants de caméras de surveillance pour maison intelligente annoncent le plus haut niveau de sécurité ! Cryptage complet, AES 256 bits, authentification à 2 facteurs et diable sait quoi !
Tout le monde sait que les caméras cloud deviennent un peu moins sécurisées, il est donc préférable de sauvegarder localement comme sur Eufy HomeBase ou Ubiquiti Dream Machine.
Cependant, malheureusement, il a été démontré dans le passé que presque aucune caméra de surveillance avec accès à Internet n’est sécurisée ! Peu importe que nous disposions d’un stockage local ou que nous le sauvegardions directement dans le cloud.
Deux fabricants qui sont en fait synonymes de haute sécurité et de fiabilité le démontrent à nouveau actuellement : Netatmo et Ubiquiti.
Plus d’informations à ce sujet et mon avis dans cet article.
Quelques incidents de sécurité
Il ne s’agit pas ici d’un « dénigrement des fabricants » spécifique, voici donc simplement quelques incidents de sécurité survenus dans le passé de divers fabricants. Montrer simplement que tout le monde est potentiellement concerné.
Surtout pas des hackers
Si vous pensez aux méchants hackers maintenant, vous serez déçu ! La plupart du temps, ces incidents de sécurité ne sont pas des attaques de pirates informatiques mais simplement des « erreurs dans le système » qui peuvent affecter n’importe qui, quelle que soit la qualité de votre mot de passe.
Ring, 2019, les employés surveillent probablement les utilisateurs
Commençons par une très grosse bague. En 2019, des informations ont circulé selon lesquelles le personnel d’assistance avait libre accès aux caméras et aux enregistrements.
Cela aurait également été utilisé par les employés pour s’amuser, pour observer leurs collègues, etc.
Ring, 2022, consulté par la police sans mandat
En 2022, on a appris que Ring transmettait des enregistrements à la police aux États-Unis et en Allemagne sans ordonnance du tribunal.
Ceux:
Ce n’est pas non plus impensable. Si les enregistrements sont stockés dans le cloud, il est tout à fait concevable que tous les employés/techniciens des fabricants puissent avoir accès à ces enregistrements s’ils le souhaitent.
Apparemment, Ring a désormais amélioré la sécurité et les droits d’accès en interne.
Eufy, 2021, accès aux caméras tierces
En 2021, les utilisateurs ont brièvement eu accès aux caméras de surveillance d’inconnus. Ceux-ci étaient simplement affichés dans l’application comme les vôtres et il y avait un accès complet.
Ce qui est particulièrement amer, c’est que le cryptage extrêmement élevé d’Eufy n’a pas non plus aidé ici.
Eufy, 2022, les données dans le cloud
Il y a eu un incident particulièrement « populaire » en 2022 avec Eufy. Un gros « avantage » ou du moins un argument marketing chez Eufy est le stockage local des enregistrements, qui sont également cryptés.
Cependant, on a appris qu’Eufy avait effectivement envoyé certaines données, telles que des images d’aperçu ou des visages, vers le cloud en 2022.
Cet incident était certes un peu « surdramatisé », il y avait bien des raisons techniques à cette connexion cloud, mais Eufy n’a pas bien géré la situation ! De plus, il est amer d’apprendre qu’une caméra qui annonce un niveau de sécurité particulièrement élevé envoie en réalité des enregistrements ou du moins un aperçu des images « ouvertement » vers le cloud.
Eufy a travaillé dur sur son application et sa sécurité après cet incident ! Bien sûr, quelque chose peut arriver de temps en temps, voir l’incident de 2021, mais en principe, je considère qu’Eufy est au-dessus de la moyenne.
2023, Netatmo, informations indésirables
Fin 2023, Heise a signalé un incident particulièrement désagréable. La caméra d’un lecteur permettait d’accéder à la caméra d’une autre personne.
Même après une réinitialisation, les enregistrements de l’autre caméra étaient toujours affichés.
Netatmo a réagi à cet incident de manière très détendue et ce n’est qu’après que Heise en a fait part que les choses se sont accélérées un peu plus.
Quelle était l’erreur ? Deux caméras ont reçu le même identifiant. Par conséquent, les deux caméras ont été traitées comme « une seule » et les deux utilisateurs avaient apparemment accès aux caméras de l’autre.
Peut-être un stupide cas isolé, mais peut-être y a-t-il plusieurs caméras Netatmo en circulation avec le même problème.
2023, Ubiquiti, accès complet s’il vous plaît
Ce qui est particulièrement amer pour moi, c’est qu’à la fin de l’année 2023, les caméras et tout le système Ubiquiti UniFi ont été touchés !
Ce qui s’est passé? Pendant environ une journée, certains utilisateurs externes ont eu un accès complet aux systèmes d’autres utilisateurs.
Comme ça? Comme pour Eufy et Netatmo, il y avait probablement un problème d’allocation interne. Les systèmes/caméras de plus de 1 000 utilisateurs ont été accidentellement attribués à d’autres comptes. Ils avaient alors simplement un accès complet.
Le stockage local et l’authentification à 2 facteurs n’aident pas non plus.
Un utilisateur a soudainement eu accès à 88 systèmes étrangers :
Juste merveilleux!
Certainement plus
Si je cherchais plus loin, je trouverais certainement plus d’exemples. Plus inquiétant encore, combien de cas ne sont pas rendus publics ? Surtout chez les petits fournisseurs qui prennent probablement la sécurité encore moins au sérieux ?
Le cryptage n’aide généralement pas
La plupart des fabricants annoncent un excellent cryptage. Cependant, cela n’aide pas si la clé est simplement enregistrée dans votre compte. En règle générale, un fabricant y a un accès complet et donc également la clé.
De plus, un problème populaire à l’heure actuelle semble être celui de « l’attribution ». Cela ne vous aidera pas si vos enregistrements sont cryptés et si votre compte est sécurisé avec un mot de passe fort, avec une authentification à 2 facteurs, si votre caméra est accidentellement attribuée à un autre compte.
Le cryptage est important, surtout pour quelque chose comme celui-ci, mais ce n’est tout simplement pas la solution à tout. Personnellement, je m’inquiète moins du fait que l’État et Olaf Scholz aient accès à ma caméra de surveillance que du fait qu’un étranger parcoure soudainement mes enregistrements sans se faire remarquer.
Surtout avec les caméras de surveillance intérieures ! En ce qui concerne les caméras de surveillance extérieures, je suis un peu plus détendu lorsqu’il s’agit de peser les risques et les avantages. Mais je suis tout sauf détendu à propos des caméras de sécurité intérieures !
J’utilise Eufy et Ubiquiti en externe et uniquement Ubiquiti en interne, qui ne se sont révélés que partiellement sûrs.
Compte et droits d’accès séparés
Mais comment pouvons-nous résoudre ce problème ? Théoriquement, une utilisation purement « hors ligne » serait une option. Il ne peut alors y avoir de tels incidents de sécurité.
Mais d’une part cela n’est pas possible avec de nombreux systèmes, et d’autre part cela constitue bien sûr une limitation majeure en termes de confort. Vous souhaitez également être informé des mouvements, etc. de l’extérieur.
Je pense que la chose la plus sensée serait de diviser les droits d’accès. Pour plus de commodité, une caméra peut être attribuée à un compte. Mais un compte ne devrait pas avoir immédiatement un accès complet à une caméra. Pour cela, un deuxième mot de passe devrait être nécessaire.
Ce mot de passe ne doit pas être enregistré par le fabricant, mais uniquement sur votre appareil ! Ce mot de passe est ensuite utilisé pour crypter les enregistrements.
Si quelqu’un accède à votre compte ou à votre caméra, il ne pourra rien en faire car un mot de passe « local » est requis.
Un tel système existe-t-il ? Pas vraiment! Un tel système de surveillance pourrait certainement être réalisé pour des fabricants comme Eufy et Ubiquiti qui disposent d’un NVR « localement ». Mais apparemment, cela ne suscite pas beaucoup d’intérêt.
Évaluation du confort, des bénéfices et des risques
Je ne veux pas déconseiller Eufy, Ubiquiti, Ring ou Netatmo. Absolument pas! J’utilise moi-même 2 de ces fabricants et j’ai eu de bonnes expériences avec les deux autres.
Mais les caméras en réseau sont en fin de compte un calcul de coûts, d’avantages et de risques. Quelque chose peut arriver avec tous les systèmes, comme le passé l’a montré.
Vous pourriez avoir un système « super sécurisé » avec beaucoup d’efforts, mais alors c’est super inconfortable ! Les constructeurs semblent également n’avoir qu’un intérêt limité pour un tel système auquel ils n’ont pas un accès complet.
Quels fabricants sont les plus sûrs ?
Mais quels fabricants sont « certainement sûrs » et peut-être aussi raisonnablement confortables ? Difficile!
Je jetterais trois fabricants/systèmes dans la pièce ici.
- Station de surveillance Synology/Qnap
- Réolink
- INSTAR
Commençons par Reolink. Reolink est l’un des rares fabricants à ne pas nécessiter de compte. Au lieu de cela, chaque caméra possède un « ID » et un mot de passe que vous attribuez lors de la configuration.
L’accès au cloud, où le serveur Reolinks agit uniquement comme un « intermédiaire » qui établit la connexion entre votre smartphone et votre appareil photo, peut être complètement désactivé.
Donc Reolink est 100 % sûr ? Reolink n’est certainement pas parfait non plus. Au final, personne ne peut vous garantir que vos mots de passe ne seront pas transférés au fabricant et qu’il les sauvegardera quelque part ou enregistrera la communication. Nous n’avons aucun moyen de voir dans quelle mesure le fabricant aura finalement accès aux caméras. Même si la procédure d’accès de base semble plutôt bonne et sécurisée.
INSTAR a ici un principe de base similaire. Apparemment, les caméras INSTAR s’appuient très peu sur le cloud et le « système de compte » est similaire à celui de Reolink. Il n’y a pas de compte obligatoire et chaque caméra possède un mot de passe « local ». Cela détermine la sécurité en conséquence et évite également les « confusions » comme avec Ubiquiti ou Netatmo.
Mais encore une fois, nous ne savons pas quels types de lacunes peuvent exister quelque part ni quel type de données sont transférées au fabricant.
L’option 3. serait un « NAS » comme Synology ou QNAP. Vous pouvez l’utiliser comme un NVR, c’est-à-dire y connecter des caméras « hors ligne ». Les enregistrements, la détection de mouvements, etc. sont gérés par le NAS.
Le tout peut être utilisé entièrement localement ou l’accès à distance peut avoir lieu via les applications du fabricant. Bien entendu, nous disposons également d’une connexion via les serveurs du fabricant, où nous devons être sûrs qu’ils ne stockent pas de données inutilement.
Cependant, avec Synology et QNAP vous pouvez être relativement sûr qu’ils n’ont pas un accès complet à votre NAS !
En conséquence, je considérerais même cette solution comme la plus sûre. Vous pouvez même connecter la Surveillance Station aux caméras INSTAR.
Si vous voulez vraiment être prudent, vous pouvez même connecter quelque chose comme celui-ci à une connexion VPN locale. Par exemple via le service « MyFritz » si vous possédez une Fritzbox.
#Quelles #caméras #surveillance #sont #encore #sûres #Incidents #sécurité #chez #Netatmo #Ubiquiti
1705259838
