L’ANSSI garde l’oeil sur la vidéosurveillance
L’ANSSI émet une série d’observations et recommandations quant aux enjeux sécuritaires que soulève l’abandon des systèmes analogiques en faveur de standards dans les infrastructures de vidéosurveillance.
L’abandon des infrastructures propriétaires essentiellement analogiques et l’adoption de standards – en tête desquels le protocole de communications IP – soulève des enjeux sécuritaires dans le domaine de la vidéo-protection.
La convergence affirmée vis-à-vis des systèmes d’information (en termes d’OS, d’authentification ou encore de contrôle d’accès) complexifie plus encore la problématique.
Les caméras et autres capteurs de présence sont de plus en plus systématiquement intégrés sur le même réseau support que le reste du parc informatique, par là même plus exposé aux attaques.
Dans le sillage de la Cnil, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) émet une série de recommandations pour contrer ces vulnérabilités potentielles, du déploiement physique à la supervision.
Le danger pèse en premier lieu sur la confidentialité des données de vidéosurveillance.
Hormis l’écoute passive et l’interception dynamique de paquets, un assaillant pourrait mettre hors service des caméras tout en simulant, aux yeux des administrateurs, un parfait fonctionnement, par l’injection de flux tiers.
Des failles de cet acabit donnent potentiellement accès au système d’information dans son ensemble. Face à ce constat, l’ANSSI privilégie un travail en amont, au niveau de l’architecture.
Il est conseillé de privilégier la connectivité filaire dans le déploiement de l’infrastructure de vidéo-protection et de lui dédier, si possible, un réseau isolé physiquement (câblage, commutateurs), voire sur le plan logique (VLAN).
Pour aller plus loin, dédier un canal aux caméras situées en extérieur – et donc naturellement plus vulnérables – peut renforcer la sécurité de celles implantées en intérieur.
Autre suggestion, s’assurer de l’inaccessibilité de certaines interfaces physiques, comme les ports USB / série qui permettent, sur certaines caméras, une prise de contrôle sans authentification.
Il est également souhaitable que les flux réseau soient systématiquement chiffrés, aussi bien pour les commandes d’administration que la remontée vidéo.
Opter pour un contrôle centralisé, intégralement délégué à un système de supervision, permet d’imposer une authentification nominative, une politique stricte de mise à jour des équipements, un contrôle du branchement de périphériques amovibles et une journalisation des opérations.
Reste à définir des mots de passe robustes et à désactiver les interfaces d’administration sur IP intégrées dans de nombreux modèles de caméras.
—— A voir aussi ——
Quiz ITespresso.fr : vous pensez en connaître un rayon sur les webcams ?
Crédit photo : Devin_Pavel – Shutterstock.com