Un groupe de hackers dit vouloir montrer la prévalence de la surveillance ; Des images vidéo ont été prises par la startup Verkada, soutenue par le fond d’investissement Sequoia

AUTEUR

WILLIAM TURTON

CATEGORIES

POSTÉ LE

9 mars 2021

SOURCE

Bloomberg

Un groupe de hackers affirme avoir piraté une énorme quantité de données de caméras de sécurité collectées par la start-up de la Silicon Valley Verkada Inc. et avoir ainsi eu accès aux images en direct de 150 000 caméras de surveillance dans les hôpitaux, les entreprises, les services de police, les prisons et les écoles.

Parmi les entreprises dont les images ont été exposées figurent le constructeur automobile Tesla Inc. et le fournisseur de logiciels Cloudflare Inc. De plus, les pirates ont pu visionner des vidéos de l’intérieur des cliniques de santé pour femmes, des hôpitaux psychiatriques et des bureaux de Verkada lui-même. Certaines des caméras, y compris dans les hôpitaux, utilisent la technologie de reconnaissance faciale pour identifier et classer les personnes capturées sur les images. Les pirates informatiques disent avoir également accès à l’ensemble des archives vidéo de tous les clients de Verkada.

Dans une vidéo vue par Bloomberg, une caméra Verkada à l’intérieur de l’hôpital de Floride Halifax Health a montré ce qui semblait être huit membres du personnel hospitalier s’attaquant à un homme et l’épinglant à un lit. Halifax Health est présenté sur le site web public de Verkada dans une étude de cas intitulée : « Comment un prestataire de soins de santé de Floride a facilement mis à jour et déployé un système de sécurité évolutif conforme à la HIPAA ».

Une autre vidéo, tournée à l’intérieur d’un entrepôt Tesla à Shanghai, montre des travailleurs sur une chaîne de montage. Les pirates informatiques ont déclaré avoir obtenu l’accès à 222 caméras dans les usines et les entrepôts de Tesla.

La violation de données a été réalisée par un collectif international de pirates informatiques et visait à montrer l’omniprésence de la vidéosurveillance et la facilité avec laquelle les systèmes pouvaient être piratés, a déclaré Tillie Kottmann, l’un des pirates informatiques qui a revendiqué la violation de la base de données Verkada, basée à San Mateo, en Californie. Kottmann, qui utilise les pronoms « ils/les », a déjà revendiqué le piratage des fabricants de puces Intel Corp. et de voitures Nissan Motor Co. Kottmann a déclaré que leurs raisons de pirater sont « beaucoup de curiosité, la lutte pour la liberté d’information et contre la propriété intellectuelle, une énorme dose d’anticapitalisme, un soupçon d’anarchisme – et c’est aussi juste trop amusant de ne pas le faire ».

« Nous avons désactivé tous les comptes des administrateurs internes pour empêcher tout accès non autorisé », a déclaré un porte-parole de Verkada dans un communiqué. « Notre équipe de sécurité interne et notre société de sécurité externe enquêtent sur l’ampleur et la portée de ce problème, et nous avons informé les forces de l’ordre ».

Une personne ayant connaissance de l’affaire a déclaré que le responsable de la sécurité de l’information de Verkada, une équipe interne et une société de sécurité externe enquêtaient sur l’incident. L’entreprise s’efforce d’informer les clients et de mettre en place une ligne d’assistance pour répondre aux questions, a déclaré la personne qui a demandé l’anonymat pour discuter d’une enquête en cours.

« Cet après-midi, nous avons été avertis que le système de caméras de sécurité Verkada qui surveille les principaux points d’entrée et les principales voies de circulation dans une poignée de bureaux de Cloudflare pourrait avoir été compromis », a déclaré Cloudflare, basé à San Francisco, dans un communiqué. « Les caméras étaient situées dans une poignée de bureaux qui sont officiellement fermés depuis plusieurs mois ». La société a déclaré qu’elle avait désactivé les caméras et les avait déconnectées des réseaux des bureaux.

Les représentants de Tesla et d’autres entreprises identifiées dans ce reportage n’ont pas répondu immédiatement aux demandes de commentaires. Les représentants des prisons, hôpitaux et écoles cités dans cet article ont soit refusé de commenter, soit n’ont pas répondu immédiatement aux demandes de commentaires.

Une vidéo vue par Bloomberg montre des officiers dans un poste de police à Stoughton, Massachusetts, interrogeant un homme menotté. Les pirates informatiques disent avoir également eu accès aux caméras de sécurité de l’école primaire Sandy Hook à Newtown, Connecticut, où un homme armé a tué plus de 20 personnes en 2012.

Les pirates disposaient également de 330 caméras de sécurité à l’intérieur de la prison du comté de Madison à Huntsville, Alabama. Verkada propose une fonctionnalité appelée « People Analytics », qui permet à un client « de rechercher et de filtrer en fonction de nombreux attributs différents, y compris les traits de genre, la couleur des vêtements et même le visage d’une personne », selon un article du blog Verkada. Les images vues par Bloomberg montrent que les caméras à l’intérieur de la prison, dont certaines sont cachées dans des évents, des thermostats et des défibrillateurs, suivent les détenus et le personnel correctionnel en utilisant la technologie de reconnaissance faciale. Les pirates informatiques disent avoir pu accéder à des flux en direct et à des vidéos archivées, parfois même à des fichiers audio, d’entretiens entre des policiers et des suspects, le tout dans la résolution haute définition connue sous le nom de 4K.

Kottmann a déclaré que son groupe a pu obtenir un accès « root » (NDLR : racine = accès total) sur les caméras, ce qui signifie qu’ils ont pu utiliser les caméras pour exécuter leur propre code. Cet accès pourrait, dans certains cas, leur permettre de pivoter et d’obtenir l’accès au réseau d’entreprise plus large des clients de Verkada, ou de détourner les caméras et de les utiliser comme une plate-forme pour lancer de futurs piratages. L’obtention de ce degré d’accès à la caméra n’a pas nécessité de piratage supplémentaire, car il s’agit d’une fonction intégrée, a déclaré M. Kottmann.

Les méthodes des pirates n’étaient pas sophistiquées : ils ont accédé à Verkada par un compte « Super Admin », leur permettant de regarder les caméras de tous ses clients. Kottmann dit qu’ils ont trouvé un nom d’utilisateur et un mot de passe pour un compte d’administrateur exposé publiquement sur Internet. Après que Bloomberg ait contacté Verkada, les pirates ont perdu l’accès aux flux vidéo et aux archives, a déclaré M. Kottmann.

Les pirates informatiques disent qu’ils ont été en mesure de regarder dans plusieurs endroits de la chaîne de gymnases de luxe Equinox. Au Wadley Regional Medical Center, un hôpital de Texarkana, au Texas, les pirates informatiques disent avoir regardé à travers les caméras de Verkada pointées sur neuf lits de l’USI. Luke’s Hospital, en Arizona, et ont également pu voir un enregistrement détaillé des personnes qui ont utilisé les cartes de contrôle d’accès Verkada pour ouvrir certaines portes, et quand elles l’ont fait. Un représentant de Wadley a refusé de commenter.

Le piratage « révèle à quel point nous sommes surveillés et à quel point on se soucie peu de sécuriser les plateformes utilisées pour le faire, en ne recherchant que le profit », a déclaré M. Kottmann. « C’est fou comme je peux voir les choses que nous avons toujours su qu’il se passait, mais que nous n’avons jamais pu voir ». Kottman a déclaré qu’ils ont obtenu l’accès au système de Verkada lundi matin.

Verkada, fondée en 2016, vend des caméras de sécurité auxquelles les clients peuvent accéder et qu’ils peuvent gérer via le web. En janvier 2020, elle a levé 80 millions de dollars de capital-risque, évaluant la société à 1,6 milliard de dollars. Parmi les investisseurs figurait Sequoia Capital, l’une des plus anciennes entreprises de la Silicon Valley.

Kottmann appelle le collectif de piratage « Advanced Persistent Threat 69420 », une référence légère aux désignations que les entreprises de cybersécurité donnent aux groupes de piratage et aux cybergangs criminels parrainés par l’État.

En octobre 2020, Verkada a licencié trois employés après que des rapports aient fait état de l’utilisation de ses appareils photo pour prendre des photos de collègues féminines à l’intérieur du bureau de Verkada et faire des blagues sexuellement explicites à leur sujet. Le PDG de Verkada, Filip Kaliszan, a déclaré dans une déclaration à Vice à l’époque que la société « a licencié les trois personnes qui ont été à l’origine de cet incident, qui ont eu un comportement flagrant à l’égard de leurs collègues, ou qui ont négligé de signaler ce comportement malgré leurs obligations en tant que directeurs ».

Prisons, maisons, bureaux

Kottmann a déclaré qu’ils ont pu télécharger la liste complète des milliers de clients de Verkada, ainsi que le bilan de la société, qui énumère les actifs et les passifs. En tant qu’entreprise à capital fermé, Verkada ne publie pas ses états financiers. Kottman a déclaré que des pirates informatiques ont observé par le biais de la caméra d’un employé de Verkada qui avait installé une des caméras à l’intérieur de son domicile. L’un des clips sauvegardés de la caméra montre l’employé en train de compléter un puzzle avec sa famille.

« Si vous êtes une entreprise qui a acheté ce réseau de caméras et que vous les installez dans des endroits sensibles, vous ne vous attendez peut-être pas à ce qu’en plus d’être surveillé par votre équipe de sécurité, un administrateur de la société de caméras vous surveille également », a déclaré Eva Galperin, directrice de la cybersécurité à l’Electronic Frontier Foundation (EFF), qui a été informée de la brèche par Bloomberg.

Dans le centre de détention du comté de Graham, en Arizona, qui compte 17 caméras, les vidéos sont titrées par le personnel du centre et enregistrées sur un compte Verkada. Une vidéo, filmée dans la « Commons Area », est intitulée « ROUNDHOUSE KICK OOPSIE ». Une vidéo classée dans le « Rear Cell Block » est intitulée « SELLERS SNIFFING/KISSING WILLARD ??? » Une autre vidéo, filmée à l’intérieur de la « Citerne extérieure » est intitulée « L’AUTOMNE COUPLE SA PROPRE TÊTE ». Deux vidéos filmées de « Back Cell » sont intitulées « STARE OFF – DONT BLINK ! » et « LANCASTER LOSES BLANKET. »

Les pirates ont également obtenu l’accès aux caméras Verkada dans les bureaux de Cloudflare à San Francisco, Austin, Londres et New York. Les caméras du siège de Cloudflare reposent sur la reconnaissance faciale, selon les images vues par Bloomberg. « Bien que la reconnaissance faciale soit une fonction bêta que Verkada met à la disposition de ses clients, nous ne l’avons jamais utilisée activement et nous n’avons pas l’intention de le faire », a déclaré Cloudflare dans sa déclaration.

Les caméras de sécurité et la technologie de reconnaissance faciale sont souvent utilisées à l’intérieur des bureaux des entreprises et des usines pour protéger les informations propriétaires et se prémunir contre une menace d’initié, a déclaré M. Galperin de EFF.

« Il y a de nombreuses raisons légitimes d’avoir une surveillance à l’intérieur d’une entreprise », a ajouté M. Galperin. « La partie la plus importante est d’obtenir le consentement éclairé de vos employés. Habituellement, cela se fait à l’intérieur du manuel de l’employé, que personne ne lit ».