Bitsight a découvert un réseau massif de caméras de sécurité connectées qui offrent une fenêtre ouverte à toute personne sur Internet.

La tenue de cybersécurité a trouvé plus de 40 000 caméras de sécurité connectées accessibles, diffusant des images en direct à partir de sites sensibles, notamment des maisons privées, des bureaux de l'entreprise, des usines et même des chambres d'hôpital.

Pour des dizaines de milliers d'appareils, un simple navigateur Web et l'adresse IP correcte sont tous qu'un attaquant doit commencer à espionner.

«Nous sommes maintenant en 2025 et cette menace de surveillance est toujours une chose, non pas à cause d'un gouvernement totalitaire mais plutôt de ce nouveau paradigme où tout est lié à Internet», déclare Bitsight.

L'ampleur du problème est vaste, les États-Unis ayant le plus grand nombre de dispositifs exposés à environ 14 000, suivis du Japon avec environ 7 000. Les autres pays considérablement touchés sont l'Autriche, la Tchéchie et la Corée du Sud, chacune avec environ 2 000 caméras exposées. Les chercheurs de Bitsight croient qu'ils n'ont «fait que gratter la surface».

L'enquête de Bitsight a été menée éthiquement, sans tenter de deviner les mots de passe faibles ou d'exploiter les vulnérabilités connues. Ils sont convaincus que s'ils avaient testé des informations d'identification facilement supposables ou codées en dur, « l'ampleur du problème serait encore plus alarmante. »

Le cœur du problème réside souvent dans la priorité des utilisateurs en cours de priorité sur la sécurité. De nombreuses personnes et organisations achètent et installent des caméras de sécurité connectées avec une configuration minimale, sautant souvent des configurations essentielles comme la modification des détails de connexion par défaut ou l'authentification des utilisateurs. Cette surveillance transforme un outil de sécurité en une vulnérabilité majeure.

Pour les individus, les implications sont profondément invasives. Une caméra exposée, que ce soit un moniteur pour bébé ou une came de compagnie, ne signifie aucune intimité. Les acteurs malveillants pourraient regarder les mouvements d'une famille, et si la caméra a un microphone, ils pourraient écouter des conversations privées. Cette surveillance constante pourrait être utilisée pour chronométrer un vol pour quand une maison est vide ou pour rassembler du matériel pour l'extorsion.

Pour les organisations, les risques se multiplient, conduisant potentiellement à l'espionnage, aux dommages de réputation et aux pertes financières graves. Le rapport met en évidence de nombreux scénarios alarmants. Les attaquants ayant accès à une caméra de bureau peuvent surveiller quels employés vont et viennent, quelles mesures de sécurité sont en place, ou même lire des informations confidentielles des tableaux blancs et des écrans d'ordinateur. La recherche a révélé un nombre inquiétant d'entreprises – des petits magasins et restaurants aux grandes sociétés – en utilisant des systèmes de vidéosurveillance DIY bon marché et mal configurés.

L'enquête de Bitsight a révélé des caméras de sécurité connectées exposées dans une multitude de paramètres commerciaux. Dans le commerce de détail, des caméras ont été vues surveiller les magasins de smartphones et les vitrines de bijoux, permettant aux cambrioleurs potentiels de faire afficher à distance un emplacement, d'identifier les articles précieux et de planifier leur effraction lorsque les locaux sont vides. Un exemple a montré une caméra à l'intérieur d'un concessionnaire de voitures de luxe, affichant librement une collection de véhicules de grande valeur, notamment une Porsche, deux corvettes, une Bentley et une Mercedes-Benz.

La menace s'étend aux infrastructures industrielles et critiques. Des caméras exposées ont été trouvées sur la surveillance des planchers d'usine, donnant aux concurrents une vue directe des processus de fabrication propriétaires. Encore plus préoccupant était la découverte des caméras de surveillance des données de surveillance et des salles de serveurs informatiques. Dans ces zones très sensibles, il n'y a absolument aucune raison que les images soient accessibles sur Internet ouvert, car il permet aux attaquants de cartographier les angles morts et de planifier un accès physique non autorisé.

Les résultats les plus inquiétants étaient peut-être ceux des environnements uniquement sensibles. L'équipe de recherche a découvert des caméras surveillant les distributeurs automatiques de billets, une configuration parfaite pour les fraudeurs qui pourraient regarder à distance les utilisateurs entrer dans leurs épingles pour faciliter le vol. Ils ont également trouvé des caméras installées à l'intérieur de ce qui semblait être des tramways, créant un risque de confidentialité évident pour les passagers d'une entreprise de transport public.

Bitsight confirme même la découverte des caméras dans les hôpitaux ou les cliniques qui surveillaient les patients. En raison de la «nature hautement sensible» de ce scénario, les captures d'écran ont été délibérément cachées.

Les caméras de sécurité connectées exposées ne sont pas simplement des risques de surveillance passifs. Ils peuvent être activement armées. Un attaquant peut compromettre une caméra et l'incorporer dans un botnet pour lancer des cyberattaques à grande échelle, telles que le tristement célèbre botnet Mirai ou les récentes attaques de déni de service distribué (DDOS).

Le groupe Akira Ransomware a déjà démontré ce risque en exploitant des webcams pour déployer son logiciel malveillant. Ce danger est si significatif que le Département américain de la sécurité intérieure a apporté des alarmes selon lesquelles ces caméras pourraient être utilisées pour l'espionnage et constituer une menace directe pour les infrastructures critiques.

Pour lutter contre cette question généralisée, Bitsight exhorte les individus et les entreprises à prendre des précautions immédiates, simples mais essentielles. Pour les utilisateurs à domicile, il est crucial de modifier les noms d'utilisateur et les mots de passe par défaut en quelque chose de fort et d'unique. L'accès à distance doit être désactivé s'il n'est pas explicitement nécessaire, et le micrologiciel de la caméra doit être mis à jour pour les vulnérabilités de sécurité des correctifs.

Pour les organisations, les directives sont de restreindre l'accès aux caméras de sécurité connectées à l'aide de pare-feu et de VPN, assurant que seul le personnel autorisé peut afficher les flux. La surveillance continue de l'activité inhabituelle et la mise en place d'alertes pour les tentatives de connexion inattendues sont également des mesures défensives vitales.

En prenant ces mesures, les individus et les organisations peuvent récupérer leur vie privée et s'assurer que leurs dispositifs de sécurité ne créent pas une vulnérabilité.