Shodan.io est un site qui a de quoi effrayer ceux qui ont "connecté" leur maison à l'aide de caméra de surveillance réseau ou de tout autre "objet connecté". Il permet à n'importe qui de faire des recherches pour trouver ces objets, et tenter d'y accéder. Explications et témoignage.
Les objets connectés sont de plus en plus présents dans nos foyers. Les plus 'geeks' d'entre nous ont déjà des caméras de surveillance reliées au réseau (accessibles à partir d'une application pour smartphones), des thermostats ou des stations météo connectés, etc…
Dernièrement, nous vous parlions de l'histoire effrayante d'une famille américaine, dont l'enfant disait entendre des voix durant la nuit. Il s'agissait de petits plaisantins qui avaient trouvé les accès à la caméra réseau et qui, à travers l'option "parler" qui équipe certains modèles, parvenaient à dire quelques phrases durant la nuit, dans la chambre de l'enfant.
Une expérience qu'est presque parvenu à reproduire David, qui a contacté la rédaction de RTL info via le bouton orange Alertez-nous. "J'ai voulu, par curiosité, voir si réellement ces webcams étaient accessibles aussi facilement qu'ils le prétendaient", nous a-t-il expliqué. La fin de son témoignage parle d'elle-même, tandis qu'il est parvenu à rentrer facilement dans le système de domotique d'une maison de Manage: "On peut voir leurs possessions, leurs habitudes de travail, les horaires de présence, voire une dame sortir à moitié nue de sa douche".
Est-il vraiment si simple d'accéder à une caméra réseau ?
Oui et non…
Oui car, pour installer une caméra réseau traditionnelle accessible via un smartphone à distance (même en dehors du réseau), il faut ouvrir un port de votre modem, pour permettre justement de "rentrer" dans votre réseau local depuis l'extérieur. Tout cela se fait désormais de manière transparente, alors qu'auparavant, il fallait configurer son "modem/routeur".
Oui car, pour rentrer dans le menu de configuration de la plupart de ces caméras réseaux, il y a un login et un mot de passe par défaut à insérer via une simple page web. Ce sont ceux du constructeur, et ils sont a priori les mêmes pour tous les exemplaires de la caméra.
Non car, heureusement, il est possible de modifier ces logins et mot de passe, même si certains constructeurs ne vous y invitent pas spontanément (mais il faut le faire, vous l'avez compris). Comme pour toutes vos combinaisons de login et de mot de passe (email, comptes de réseaux sociaux ou de sites web, etc), on vous conseille de ne pas chercher la facilité et de les changer aussi souvent que possible.
Non, si vous privilégiez certaines marques à la réputation plus solide, et qui soignent la partie logicielle (alors que les autres, moins chers, se contentent de vendre une caméra réseau). Prenons la caméra de surveillance de Nest, que nous avons testée il y a quelques mois. Forte de toute l'expertise de sécurité de Google (à qui appartient Nest), elle n'est accessible que via l'application Nest, qui sert également à contrôler les thermostat et détecteur de fumée de la marque. Pour utiliser cette application, vous devez créer un compte Nest avec votre adresse email et un mot de passe sécurisé.
Un moteur de recherche pour objets connectés
Pour ne rien arranger, hélas, on trouve sur internet un moteur de recherche très effrayant: Shodan.io scanne le web à la recherche des objets connectés. Pour faire simple, chaque fois que vous connectez un appareil à internet, que ce soit votre modem, un ordinateur, une caméra, un smartphone, une adresse IP lui est attribuée.
Certains de ces objets ont ce qu'on peut appeler un "web service", c'est-à-dire, comme nous l'avons expliqué plus haut, une page web qui permet d'accéder à certaines fonctionnalités de l'objet.
Le moteur de recherche Shodan.io scanne des milliards d'adresses IP tous les jours, et détecte celles qui concernent les objets connectés.
Il permet donc de trouver les adresses IP d'objets connectés partout dans le monde, et donne des informations de configuration qui peuvent être utiles aux développeurs.
Mais si n'importe qui place cette adresse IP dans un simple navigateur, on arrive sur la fameuse page de "web service". En cherchant un peu, on comprend de quoi il s'agit (une caméra de surveillance, par exemple). Et si on essaie les combinaisons login/mot de passe par défaut d'une marque, que l'on trouve facilement avec une recherche Google, on peut parfois accéder à certaines fonctionnalités de la caméra, dont le visionnage en direct du flux vidéo (stream)…
David a trouvé un système de domotique à Manage: "On peut voir une dame sortir de sa douche"
Si nous évoquons la sécurité de nos objets connectés, c'est surtout grâce au témoignage de David, qui a contacté la rédaction de RTL info via le bouton orange Alertez-nous.
Il a préféré rester anonyme, mais il nous laisse un témoignage assez éloquent, après quelques minutes passées sur Shodan.io. "J'ai voulu, par curiosité, voir si réellement ces webcams étaient accessibles aussi facilement qu'ils le prétendaient... Voici l'ip obtenue lors d'une recherche sur: city:"manage" //XXX.XXX.XXX/ (nous avons masqué l'adresse, NDLR). On clique dessus et on arrive sur une page d'administration d'une domotique privée (voir photo ci-dessous). Une simple recherche Google pour trouver le mot de passe par défaut de la marque (…), et voilà. L'accès à toute la surveillance de la maison, ainsi qu'à tous les enregistrements de mouvements. On peut donc voir leurs possessions, leurs habitudes de travail, les horaires de présence, voire même une dame sortir à moitié nue de sa douche".
David a donc raison de mettre en garde la population, tout comme nous l'avons fait en début d'article: "Le tout connecté c'est bien dans la plupart des cas... mais pas sans connaissance du sujet, et avec grande précaution. Ça ne coute rien de changer un mot de passe d'usine".
Pas si facile
Nous avons, nous aussi, passé du temps sur Shodan.io, le fameux moteur de recherche. Nous sommes parvenus, effectivement (mais difficilement), à accéder à certaines pages 'web service' d'objets connectés. Mais ça n'est pas à la portée de tout le monde, et s'il existe en effet des critères de recherche basés sur la localisation (on peut filtrer par ville) ou sur le nom du serveur, il n'est pas possible de trouver facilement les webcams basées à Bruxelles, par exemple.
Après plusieurs tentatives tous azimuts, nous avons atterri sur la page de configuration d'une imprimante… en Chine. Une page complètement ouverte, sans login ni mot de passe. Libre à nous de modifier les paramètres de la machine, si nous le souhaitions.
L'intérêt est forcément très limité pour le grand public, mais on imagine aisément que des experts pourraient identifier et infiltrer des entreprises ou des maisons peu sécurisées.
Conclusion et conseils
L'existence d'un moteur de recherche pour objets connectés, le manque de précaution de la plupart des fabricants au niveau de la sécurité, et les connaissances limitées du grand public au moment d'installer du matériel réseau (comme des caméras de surveillance), doivent vous inciter à la plus grande prudence.
La base de la base, c'est de faire attention aux login et mot de passe. Lors de l'installation, en effet, de nombreux appareils connectés ont des accès par défaut, et il n'est pas obligatoire, ni même recommandé par le logiciel, de personnaliser ces accès. Grossière erreur: dès qu'il s'agit de votre vie privée, il est essentiel de garder la mainmise sur l'accès aux appareils de votre réseau. Votre modem/routeur (ce qui donne accès à internet chez vous), vos caméras de surveillance, votre imprimante, etc… Dès que vous devez mettre des logins et mot de passe par défaut lors de la configuration, modifiez-les dès que possible. Cherchez dans les menus "option", "configuration", "sécurité", "compte" ou "accès", jusqu'à ce que vous puissiez mettre votre propre login et votre propre mot-de-passe.
Il ne faut cependant pas devenir parano. Il n'est pas aussi simple que cela de trouver la caméra réseau de votre voisin et d'y accéder, et l'intérêt pour des hackers de consacrer du temps pour accéder à votre modem/routeur, votre imprimante ou votre thermostat est très limité: il n'y a, a priori, par d'argent à gagner...
Avec les années, de plus, les constructeurs deviennent de plus en plus sensibles à la sécurité et à la vie privée. Et dans le doute, fiez-vous uniquement aux grands noms dans le domaine: il y a de nombreuses marques chinoises qui vendent des caméras réseau à bas prix, par exemple, justement parce qu'elles négligent la partie logicielle/sécurité.
Quand il s'agit de caméra réseau, objet le plus sensible au niveau d'une maison connectée, renseignez-vous sur les options de sécurité, ou fiez-vous à des marques qui investissent autant dans la partie matérielle que dans la partie logicielle. A ce niveau-là, la caméra de surveillance de Nest, ou celle de Netatmo, font sans doute partie des plus sérieuses.
Vos commentaires