Limelogic News...

Ce titre prête à sourire et pourtant... Aujourd’hui, c’est l’une des professions — avec les installateurs de systèmes d’alarmes et de systèmes de surveillance par caméra — qui implémente des solutions de gestion et de consultation à distance dans les réseaux d’entreprise.

La plupart du temps, ces installations sont réalisées sans tenir compte du fait qu’il s’agit d’une nouvelle fenêtre qui s’ouvre sur le réseau informatique de l’entreprise, et donc d’un nouvel accès à ses données.

Ci-dessous, un exemple de mail envoyé dans le cadre d’une intervention chez l’un de nos client à la suite de son déménagement dans ses nouveaux bureaux .

Bonjour Monsieur XXXXX,

Je tiens par ce message à attirer votre attention sur vos systèmes d’alarme, caméras, etc.

Pour expliquer d’abord l’incident d’hier :

A/ Vous m’avez contacté en signalant que :

• Le système d’alarme indiquait un défaut réseau,
• Vous ne pouviez du coup pas armer l’alarme,
• L’installateur, contacté par vos soins, vous disait que c’était suite à un changement de configuration effectué ce vendredi par Limelogic. (Lorsque j’ai eu l’installateur au téléphone, il semblait tout à coup moins catégorique, me disant simplement qu’il ne savait pas si on avait changé quelque chose, mais que comme ça fonctionnait jeudi et plus vendredi, c’était sûrement un problème du côté du réseau. Hypothèse assez hasardeuse.)

B/ Après examen :

• L’appareil n’émettait aucun trafic sur le réseau.
• J’ai désactivé/réactivé sa connexion, suite à cela j’ai vu UN PEU de trafic, pas grand-chose.
• Vous m’avez ensuite signalé avoir réussi à armer l’alarme à distance.

C/ Ce matin, je refais un contrôle et je constate deux choses :

• Le système tente de contacter un « serveur de temps » sur Internet, destiné à régler son horloge, et n’y arrive pas. Cela ne faisait pas partie des ouvertures de trafic demandées par l’installateur. J’ai supposé qu’a priori il était vraiment important qu’un système d’alarme soit à l’heure, et donc autorisé ce trafic.
• Je vois qu’un autre système se trouvant sur ce réseau « caméras/sécurité » tente, sans succès puisque bloqué par le firewall, de contacter une adresse IP dynamique sur Internet, située en République tchèque. *En général*, appeler une IP dynamique n’est jamais bon signe ; cela ressemble à une tentative de piratage.

Pour situer ensuite le contexte :

Je n’ai suivi que de loin la mise en place de ce système, mais je peux vous dire que de notre côté cela a été très pénible car l’installateur semblait incapable de dire précisément le type de trafic qu’il fallait autoriser sur le firewall. Comme vous le savez, nous sommes toujours très attentifs à la sécurité, et sommes toujours partisans d’une politique d’ « ouverture minimale ». C’est plus indispensable encore dans le cadre d’un système de contrôle d’accès. Malheureusement, dans la plupart des cas (et le vôtre ne fait pas exception), les installateurs n’ont en général AUCUNE notion des risques de sécurité, ce qui est un grave problème. Imaginez, par exemple :

• Un système de caméra (on l’a vu X fois…) rendu accessible par Internet avec, dans le pire des cas, des identifiants/mots de passe définis par défaut (que tout le monde peut trouver sur Internet) ou, dans le meilleur des cas, un mot de passe modifié mais peu solide. Quelle aubaine pour le cambrioleur potentiel de pouvoir confortablement visionner votre bâtiment !
• Un système de contrôle d’accès rendu accessible sur Internet, dans le même genre de conditions. Quel confort pour ce même cambrioleur que de pouvoir désactiver tranquillement l’alarme à distance !

La plupart du temps, lorsque nous tentons de sensibiliser les installateurs à ce genre de problème, ils nous rient au nez. Pourtant :

• Beaucoup de ces systèmes reposent sur des appareils IoT» (Internet Of Things), qui sont NOTOIREMENT mal sécurisés pour la plupart.
• Des « tutoriels » d’attaque de ces systèmes sont disponibles librement sur Internet.
• Nous avons, il y a quelques mois, prouvé à l’un de nos clients potentiels sa vulnérabilité, en désarmant à distance tous ses systèmes (bien sûr avec son accord préalable !).
• Dans votre cas précis, voir point C/, il y a VRAIMENT des tentatives de trafic « douteux ».

En conclusion :

Je me suis lancé dans ces longues explications parce qu’à mon avis, nous ne sommes pas encore sortis de l’auberge avec vos systèmes de contrôle d’accès, puisque l’installateur ne semble pas maîtriser complètement l’aspect « communication réseau » de son produit. Le but de ce message est triple :

• Vous convaincre (si vous ne l’êtes pas déjà) que NON, si nous agissons de façon aussi stricte, ce n’est PAS pour « ennuyer le monde » mais pour assurer autant que possible la sécurité des systèmes.
• M’assurer que vous soutenez de notre démarche vis-à-vis de votre fournisseur si jamais il renâcle à coopérer.
• Et enfin être certain que vous réfléchissiez de votre côté à votre propre contribution à cette sécurité, dans la mesure où vous maîtrisez l’utilisation de ce système sans aucun doute mieux que nous. Par exemple, j’ai compris que vous aviez la possibilité d’armer/désarmer ce système à distance, je suppose via un site web ou une application. Il faut vous poser quelques questions de base, comme : la communication est-elle chiffrée (https) ou « en clair » ? L’authentification est-elle solide ? (Mot de passe complexe, blocage au bout de x erreurs, etc.) — des questions auxquelles nous ne pouvons pas répondre, ne connaissant pas le système.