Affichage des articles dont le libellé est Routeur. Afficher tous les articles
Affichage des articles dont le libellé est Routeur. Afficher tous les articles

mercredi 11 juillet 2018

Quelle caméra choisir pour un particulier ou une petite entreprise ?


Quand on est particulier ou petite entreprise et que l'on souhaite s'équiper de vidéosurveillance, à prix attractif, on regarde naturellement du côté des caméras IP. Nous nous intéressons dans cet article à l'aspect sécurité et sûreté de la caméra IP.

S'il est aisé de comparer les caméras sur leurs caractéristiques physiques (optique, résolution, étanchéité, vision nocturne et visibilité nocturne, ....), les choisir est beaucoup plus compliqué. En fonction des conditions d'usage et des attentes en terme de rendu et de détection de mouvement par exemple, il est difficile de trouver des comparatifs. Je n'aborde même pas l'aspect maintenance, pour lequel il est rarissime de trouver des informations aisément.

Pour tous ces aspects, vous pouvez cependant vous reporter à l'article suivant de maison et domotique qui en fait une bonne synthèse.

En terme de sécurité et sûreté de fonctionnement, il est rare que les informations sur la connectivité et les protocoles supportés de la caméra elle-même soient présentées, ... en détails. La simple URL de capture d'une image est quelques fois un parcours de combattant.

Si vous appelez le service support, il vous dira:"mais on a une application dédiée sur le Cloud. Vous verrez vous n'aurez rien à faire, c'est très simple." Si c'est leur seule réponse quand vous ajouterez que vous voulez maîtriser votre installation, passez votre chemin.

Les PRO proposent toujours plusieurs alternatives avec la même caméra: Cloud, non Cloud, application dédiée ou pas, avec des accès via des requêtes sécurisées ou des bibliothèques d'accès (API), elles-mêmes sécurisées avec des mécanismes performants. Les prix dans ce cas commencent au delà des 160 €. En clair, si vous n'avez besoin que de une à deux caméras et que vous voulez être sécurisés totalement, allez y. 




Pour mémoire, les principales failles sur les caméras IP (et les enregistreurs ... et les objets connectés au sens large, on nous en promet 50 milliards en 2020, c'est à dire demain)

Si la presse a fait ses choux gras avec des caméras IP venus du pays de la grande muraille et qui ont majoritairement servi lors des attaques de fin 2016, les publications alertaient sur bien d'autres caméras, conçues ailleurs, et ce depuis 2010:

- 1 - la principale est liée aux comptes utilisateurs par défaut et à leur corruption
- 2 - la plus dure et parfois indécelable: la porte dérobée ou backdoor en anglais dans le texte
- 3- les défauts d'implémentation des protocoles de communication ou leur paramétrage très incomplet
- 4- les bugs dans le soft (les mêmes depuis la nuit des temps car la plupart du temps, ce dernier est simplement recopié ....) d'où les possibilités d'accéder à la configuration, ou directement aux fonctionnalités de la caméra (si si)
- 5- enfin et non des moindres, lire simplement le flux vidéo non protégé .... non encodé ....

Vous pouvez vous reporter au site de l'ANSSI ou son dernier MOOC  pour aller dans le détail de la Cyber sécurité.

Les américains publient énormément sur les failles et viennent via leur Congrès d'interdire deux fabricants dont les caméras sont des passoires ou plutôt des chevaux de Troie, hum...

Il est fortement probable que l'on assiste dans les années à venir à une publication communautaire, un pendant du RGPD, une sorte de RGPOC, Règlement Général de la Protection des Objets Connectés (je blague .. enfin ... pas sûr). Les industriels devraient se bouger avant des condamnations car les pertes financières des attaques se chiffrent en millions et ça n'est plus acceptable. Enfin, je m’égare.

Chacun peut aisément comprendre que dans le cas des vulnérabilités ci-dessus, on peut compromettre votre vie privée mais aussi on pourrait engager votre responsabilité (détournement pour attaque, ...) ... pas cool...bon, je ne connais pas encore de jurisprudence sur le sujet pour le particulier ou la petite entreprise.

Pour la petite entreprise, elle ne doit pas oublier que la réglementation CNIL lui est opposable et à ce titre, DPO et Responsable du Traitement (vidéo) peuvent être légalement poursuivis.

Comment est il possible d'acheter des caméras IP à moins de 30 € (même moins à date) et de sécuriser leur fonctionnement ?

Pour accéder à votre caméra, il faut y accéder, comme c'est bien dit.

Prérequis : Protéger votre réseau (et/ou suivre ces conseils). En plus, empêcher l'adresse IP de votre caméra (que vous avez mis en IP fixe) de communiquer avec l'extérieur. A ce stade, toutes les box FAI (Fournisseur d'Accès Internet), le permettent. 

Ok, mais si je veux voir ma caméra quand je suis en vadrouille. Passez par une box domotique qui supporte le protocole Https (avec de vrais certificats SSL/TLS) (dans ce cas, votre box domotique a elle-même certainement toutes les qualités de sécurité requises et vous permet si besoin de gérer plusieurs utilisateurs).

Donc avec ma caméra à 30 € qui présente toutes les failles décrites ci-dessus et ce que vous dites, de quoi je ne suis pas protégé ?

D'un pirate (votre enfant qui teste des recettes trouvées sur le net) déjà présent sur votre réseau et les fameuses backdoor.
Dans ce cas, votre box FAI ne suffit plus,il vous faut un routeur (un vrai) avec quelques fonctionnalités firewall (il en existe à moins de 300 € à date).

Comment ?

Vous devrez cloisonner dans un même sous-réseau vos caméras et les PC ou box domotique qui peuvent y accéder (plusieurs méthodes existent, elles sont très bien décrites dans la documentation de votre routeur/firewall). 
De plus, ce même routeur/firewall va vous permettre de filtrer toutes les requêtes http/https et filtrer les paramètres RTSP (source des défauts d'implémentation des protocoles de communication ou de leur paramétrage très incomplet).

Dans ce cas votre routeur/firewall va détecter tout fonctionnement suspect (redémarrage usine de la caméra, tentatives de connexion interne et externe, tentatives d'échanges locaux/distants non autorisés, ....) et soit isoler la caméra en cause définitivement, soit vous alertez sur un canal sécurisé.

De plus,il peut aisément vous protéger des bots et divers robots si vous êtes exposés sur Internet. Bon là, vous n'avez pas besoin de lire cet article ...comme si vous pensez VPN.

Et si je n'ai ni de box domotique (digne de ce nom) ni de routeur/firewall ? Bref, comme beaucoup, une box FAI et c'est tout ...

Dans cas, il vous faut des caméras avec les prérequis suivants:

-A-  gestion du login/mot de passe ou mot de passe à minima: je ne reviens pas ici sur les standards à respecter et le cryptage/hachage requis. Même la plupart des caméras 30€ le respecte. Certaines supportent déjà la double identification avec des serveurs de privilèges (si si).

-B-  gestion du protocole Https (SSL/TLS) avec une gestion des certificats par le constructeur, éventuellement par vous (si vous en êtes à ce stade, vous n'avez pas besoin non plus de lire cet article...)

-C- chiffrement des enregistrements le cas échéant

Vous ne filtrerez plus l'adresse IP de votre caméra en sortie sur votre box FAI. Vous utiliserez soit l'application dédiée de votre constructeur de caméra, soit vous ouvrirez un port sur votre box FAI (dans votre doc de votre box FAI, exemples sur le Net). Mais vous resterez exposé aux failles 2, 3 et 4. 

Pour ne plus y être exposé ?

Revenir à la rubrique "Comment ?" (à date, c'est le plus économique) ci-dessus ou choisir une caméra avec les prérequis supplémentaires:

-D- le constructeur communique sur sa propre implémentation du système d'exploitation (Linux dans 99,99 % des cas) et il vous parlera à minima de "sécurisation et protection contre les modifications de la configuration et paramétrages de la caméra", "sécurisation du système d'exploitation" et de politique de mise à jour ...Vous y retrouverez tout ce que je vous ai dit dans la rubrique "Comment ?". Eh oui, il n'y pas de secret, si l'environnement ne le fait pas, l'objet connecté doit le faire.

Astuce: si la caméra choisie est sous LINUX, vous avez des sites qui testent l'implémentation, vérifient tous les points ci-dessus et s'assurent que les services Linux inutiles ont été désactivés ou vous alerte, ainsi que de la bonne implémentation des paramètres RTSP.

Conclusion

En résumé, une caméra avec les critères caméras A, C et les rubriques "Protéger votre réseau" et "Comment ?" sont une bonne solution chez un particulier ou une petite entreprise.

Une caméra IP est un objet connecté parmi tant d'autres (Smart Phone, PC, .... et tous ceux qui ont vos faveurs). Pensez à vous équiper d'une box domotique, ou d'une plate forme logicielle domotique, digne de ce nom, et penser réseau familial ou de petite entreprise au delà de votre box Fournisseur d'Accès Internet. Enfin, pensez VPN (digne de ce nom).

Bref, BetABA, protégez l'environnement global. Cet investissement est pérenne.

Nous reviendrons dans un prochain article sur la visualisation de ces caméras avec des logiciels de supervision, en capture d'images ou en flux vidéo temps réel.

Dans ce cadre, nous verrons comment trouver les URL de capture d'images (SnapShot chez les Yankees) ou les ports ad hoc RTSP, leurs avantages et inconvénients. Eh oui, ça ne se passe jamais tout seul, il y a toujours un prix à payer.

Nous poursuivrons avec l'usage de la détection de mouvement, la reconnaissance faciale de personnes, les autres types de reconnaissance, .., le bougé caméra qui peuvent représenter un intérêt en usage domestique ou en petite entreprise. Ces dernières fonctionnalités peuvent être intégrées dans la caméra ou dans le logiciel de supervision.