Accueil > Automne 2019 / N°52

Aux yeux de tous

Les vidéosurveillants vIdéosurveillés

L’arroseur arrosé a trouvé sa transposition moderne. De plus en plus de particuliers ou d’entreprises installent des caméras de surveillance pour se sentir en sécurité à faible coût. Mais ces mêmes caméras peuvent facilement être piratées et se retourner contre leurs maîtres. La caméra devient alors un mouchard capable de fournir à un quidam quelques données passionnantes : emplacement des objets de valeur, habitudes horaires des propriétaires et employés… Le Postillon a eu accès à des images volées dans des commerces grenoblois et est allé demander leurs réactions aux arroseurs surveillés par leurs propres caméras.

Savez-vous comment est fabriqué le gros morceau de viande tournant sur une broche dans les kebabs ? Nous, on croyait qu’il était livré tel quel au commerce. En fait non : il faut empiler un à un des petits morceaux de viande sur une broche, dans un sens, puis dans l’autre, en tassant bien à chaque fois. Pour faire un morceau d’un mètre de haut, ça dure assez longtemps, au moins une demi-heure. Après il faut tailler les morceaux qui dépassent avec un couteau, en faire des boules, mettre ces boules sur le dessus de la pile, et puis finir avec les mains de façonner bien droit les bords du morceau de viande.

Tout ça, on ne l’a pas appris en discutant ou en surfant sur internet. On l’a découvert en regardant, depuis un ordinateur, la caméra de surveillance d’un kebab grenoblois. Une caméra installée dans l’arrière-boutique, où l’on voit donc les salariés venir préparer la cuisine : ce matin-là, celui qui malaxait la viande à kebab fumait une clope en même temps. Sur une autre vidéo, on voit le patron se faire masser par un homme.

Comment s’est-on retrouvés à « surveiller » depuis notre bureau l’arrière-salle d’un kebab ? Tout a commencé avec un mail écrit depuis une adresse obscure.

« Salut les jamais-contents du Postillon. Est-ce que ça vous intéresserait de faire un article sur la fragilité des systèmes de vidéosurveillance ? Il est très facile de pirater des caméras installées par des privés. Sur Grenoble, j’ai par exemple accès à une cinquantaine de caméras, la plupart dans des maisons mais aussi dans une vingtaine de commerces que j’ai identifiés.  »

Intrigués, on lui a répondu en lui proposant une rencontre.

« Non, je ne veux pas apparaître. Ce que je fais est illégal : on n’a pas le droit de pirater des systèmes de vidéosurveillance. Mais c’est très facile à faire. Personnellement, je ne le fais pas pour épier les gens, savoir où ils planquent leur argent ou à quelle heure il n’y a personne chez eux. Mais cela pourrait être utilisé par des personnes malintentionnées. Si vous ne me croyez pas, je vous propose de vous rendre à ces commerces en m’indiquant les jours et heures où vous y serez. »

Quand il y a une occasion d’aller traîner au café, on dit jamais non. Alors on a arpenté les commerces mentionnés en exhibant des numéros du Postillon devant les caméras qu’on avait repérées – on s’amuse comme on peut. Deux jours plus tard, une clef USB est déposée dans notre boîte aux lettres. Elle contenait des images de caméras de vidéosurveillance : des séquences où on nous voyait arpenter les commerces, et puis certaines dans d’autres lieux. Il y avait donc ces vidéos de l’arrière-salle du kebab et d’autres dans des boutiques Yves Rocher, à Grand’Place et au centre-ville, ou chez Loxam, une boîte de location de matériel professionnel au Fontanil-Cornillon. « Je ne vous ai pas mis des vidéos de particuliers, nous avait écrit l’anonyme. On ne sait pas qui c’est et puis une fois j’ai vu un vieux se balader dans son couloir à poil avec sa sonde urinaire, ça m’intéresse pas trop ce genre d’images…  »

Notre mystérieux geek ne voulant toujours pas nous rencontrer, on a décidé de se servir des images où on apparaissait pour aller interroger les commerçants en question. Après avoir imprimé des photos issues des morceaux de films pour les montrer, on est partis à la rencontre des propriétaires des caméras.

On a commencé par une brasserie, pas très loin de la gare. La caméra, fixée derrière le comptoir, filme le serveur, le comptoir et une partie de la salle. Qu’il puisse être regardé par n’importe qui sur internet ne semblait pas étonner le serveur présent ce jour-là : « Je suis juste employé donc je ne sais pas comment elles sont sécurisées, ces caméras. Mais ça ne m’étonne pas d’apprendre ça. Moi j’arrive bien à regarder des chaînes de télé piratées…  » Avant de nous donner le numéro du patron, il s’amuse : « Avec la photo que vous me montrez, je peux vous dire quel collègue travaillait ce jour-là, vu le bordel qu’il y a sur le comptoir.  » Au téléphone, le patron n’a pas l’air non plus scandalisé : «  La caméra, c’est moi qui l’ai installée tout seul il y a quelques années. Tout est piratable de toute façon, les cartes bancaires, les caméras, qu’est-ce que vous voulez que je vous dise ? Moi la caméra elle m’a déjà servi à intervenir pendant un cambriolage, alors d’un côté c’est efficace, mais c’est sûr que c’est à double tranchant : ça peut aussi servir à des malfaiteurs.  »

Dans le même quartier, on a aussi eu des images d’une supérette. À l’écran, on pouvait voir les trois caisses, quelques bouts de rayons et les clients qui défilent. Pour le gérant, la vulnérabilité de ces caméras est une surprise : « Les caméras ont été installées en 2011 par un installateur qui est quelqu’un de mon entourage. Elles sont reliées à internet. Ici, ça enregistre en continu et les images sont supprimées au bout de quinze jours… On a fait dans les règles, par exemple on n’a pas le droit de filmer la rue...  » Dans son bureau, on voit sur un écran toutes les caméras du magasin. « Il faut peut-être qu’on remette à jour nos identifiants et nos mots de passe. Ça ne va pas m’empêcher de dormir mais c’est inquiétant. »

Notre prochain arrêt se situe dans un bar proche de Championnet, où on est moins bien reçu par le serveur : « Je ne m’occupe pas de ça. La caméra, de toute façon, elle vous filme. Moi, ça m’est égal que les images soient sur internet, à la rigueur tant mieux, j’ai rien à cacher.  » La caméra en question est située au-dessus de la caisse, on voit toutes les rentrées et sorties d’argent et l’ensemble du comptoir. Le serveur si aimable finit quand même par nous désigner des types en terrasse : « L’installateur des caméras, justement, c’est lui, vous pouvez le questionner. » Lui est un peu plus bavard : « Malheureusement, je ne suis qu’installateur. Qu’est-ce que vous voulez qu’on fasse à part mettre des mots de passe de plus en plus longs ? Après, qu’est-ce qui fait que vous avez ces photos ? Est-ce que c’est la box, est-ce que c’est la Chine ? Le P2P ?  » Le P2P, c’est le peer-to-peer, un modèle informatique qui facilite les échanges entre plusieurs ordinateurs sur un réseau. On aurait aimé en discuter plus longuement, mais il a coupé court pour boire le café avec son pote.

La discussion est beaucoup plus intéressante dans un resto du centre-ville. La gérante est préoccupée par ce qu’on lui raconte et ne comprend pas comment c’est possible malgré toutes les contraintes qu’il y a pour installer une caméra : « C’est bizarre, il y a toute une démarche, on doit déclarer à la préfecture, on doit prévenir nos employés, on leur fait signer un document qui stipule qu’ils sont au courant qu’on les filme.  » Dans ce commerce, la caméra filme presque toute la salle à manger, le comptoir, la caisse, les serveurs qui vont et viennent : « Mais s’il a accès aux caméras, ça veut dire qu’il a accès à d’autres choses, à notre réseau… » « Il nous surveille en ce moment !  » s’exclame une serveuse derrière le comptoir. Ça détend un peu l’atmosphère avant que la gérante poursuive : « On a fait une formation e‑commerce-internet, c’est vrai qu’après ça on n’a plus envie d’avoir ni ordinateur ni téléphone portable. N’importe qui peut avoir accès à nos infos perso sur nos goûts, nos familles… C’est hyper intrusif.  »

Et c’est vrai que le problème de la sécurité ne s’arrête pas aux caméras. Sur la clef USB laissée par « l’espion », il y avait aussi des vidéos d’une supérette dans le sud de la Drôme, et puis un lien pour aller sur son système de commande des alarmes et des frigos. On a bidouillé un peu et on est parvenus à faire passer la température programmée du « frigo fruits et légumes » de 4 degrés à 10 degrés. Au bout de quelques minutes, quand on a vu que ça semblait marcher (le thermomètre montait et affichait 7 degrés), on a remis la valeur initiale et on s’est gardé de toucher à tous les autres frigos qu’on pouvait aussi dérégler. Ça a été quand même instructif : de Grenoble comme depuis partout dans le monde, on peut foutre en l’air quantité de produits frais dans le sud de la Drôme en faisant trois clics derrière un écran. C’est dingue, non ?

Pour la gérante de cette supérette, contactée par téléphone, pas du tout : « C’est la centrale de Système U qui a installé le système de sécurité. Qui aurait intérêt à regarder les caméras ou à dérégler les frigos ? Je vois pas qui ça peut intéresser. C’est sûr que ça pourrait être plus sécurisé, mais que des gens aient accès aux images du magasin, ça change quoi ? Personnellement, ça ne me fait ni chaud ni froid. Si des gens veulent braquer, ils n’ont pas besoin de ça.  »

Il y a vingt ans, l’installation des premières caméras de vidéosurveillance sur la voie publique faisait un peu scandale : une majorité d’habitants trouvaient ça trop orwellien. Quelques années plus tard, le rapport de force s’est inversé et la plupart, à Grenoble comme ailleurs, acceptent la multiplication des mouchards dans les rues car après tout « on n’a rien à se reprocher ». Depuis, des études ont montré que les caméras installées sont très peu efficaces – elles ne permettent de résoudre qu’une très faible quantité de délits – en plus d’être très coûteuses en deniers publics. Contrairement aux caméras des privés, elles sont reliées par câbles par des entreprises de BTP.

Mais tout le monde s’est habitué à vivre sous surveillance et les caméras continuent de proliférer, dans les rues, les bâtiments publics, les commerces et chez les particuliers. Que ces caméras soient piratables et que les surveillants puissent être surveillés ne choque pas tout le monde, loin de là : sur les six « victimes » interrogées, seulement deux étaient surprises et un peu inquiètes de cette révélation. Les quatre autres semblaient résignées à vivre dans l’ère de la surveillance généralisée, où même leurs propres outils peuvent se retourner contre eux.

Demain, les millions d’« objets connectés » des maisons intelligentes et de la smart city collecteront des milliards de données. En plus d’être un gouffre énergétique scandaleux en ces temps d’« état d’urgence climatique  » (voir pages 4-5), ces systèmes connectés en permanence sur le réseau pourront permettre à quelques futés de tout connaître de l’intimité d’une personne, voire de faire des bonnes blagues ou des sales coups. Mais pourquoi s’en préoccuper quand « on n’a rien à se reprocher  » ?

«  Un peu comme si ton gilet pare-balles te plantait un couteau dans le dos. »

Comment est-il possible d’avoir accès à des caméras installées par des particuliers ? Vu que notre mystérieux informateur n’a pas désiré s’étendre sur la question, on est allés interroger un spécialiste. Jean-Paul travaille dans l’installation de « systèmes-sécurité », caméras, alarmes, détecteurs, etc. Quand on lui a montré nos images, ça ne l’a pas du tout étonné. Il nous éclaire sur la partie technique.

Pourquoi certaines caméras peuvent-elles être piratées ? Les caméras piratables sont des caméras amateur qu’on trouve dans le commerce à la Fnac ou Darty, des gadgets qui s’achètent entre 80 et 200 euros. Dans les grandes entreprises ou dans les collectivités, il y a des services qui s’occupent de sécuriser le système, donc c’est beaucoup plus compliqué à pirater.
Les particuliers se débrouillent tout seuls ou passent par un installateur. Mais ces installateurs sont plus électriciens qu’informaticiens. Ils ne savent pas gérer et sécuriser le système correctement.

Mais concrètement, comment ça se passe ? Les caméras sont livrées avec des mots de passe par défaut qu’on retrouve dans la documentation et sur internet. Sur un moteur de recherche, si tu tapes « caméras et mots de passe par défaut » tu tombes sur des sites qui te donnent tous les identifiants et mots de passe des caméras selon les marques. C’est souvent « admin » comme identifiant et « admin » ou « 12345  » comme mot de passe. À l’installation, rien ne t’oblige à changer le mot de passe. Même les installateurs ne le changent pas. Je pense que 80 % des particuliers qui installent une caméra laissent le mot de passe d’origine. Donc c’est très facile pour une personne de trouver ce mot de passe.

Au démarrage ta caméra modifie la configuration de ta box pour permettre de se connecter depuis internet. Comme l’intérêt est de pouvoir regarder tes images depuis ton smartphone, faut qu’elles soient sur internet. C’est là où elles deviennent facilement piratables.
Imaginez : vous avez investi dans une porte blindée (votre box) et votre caméra fait un gros trou dedans pour que les images soit visibles depuis votre jardin. C’est exactement ce qui se passe. Et comme tout le monde peut entrer dans votre jardin... Les gens pensent que c’est sécurisé parce que le logiciel de gestion de la caméra demande de choisir un mot de passe. Mais la caméra elle-même a un mot de passe et s’il n’est pas changé, il est facilement trouvable. Les gens sécurisent leur application, mais les pirates attaquent directement leur caméra. Il y a un faux sentiment de sécurité.

Par contre si le mot de passe est changé, les caméras sont protégées ? Non, car le principe de filmer chez soi ou son commerce et que les images soient connectées au réseau, c’est dangereux en tant que tel. Si les mots de passe sont changés, les « attaques » sont plus complexes, mais toujours possibles. Les caméras devraient être mises à jour régulièrement, comme un ordinateur. Or, la plupart du temps, elles ne le sont jamais. Sur toutes les caméras, il existe donc des vulnérabilités, des failles dans lesquelles quelqu’un d’un peu calé en informatique peut s’engouffrer pour avoir accès aux images de la caméra.

Le problème est-il le même pour tous les objets connectés ? C’est exactement pareil. Une caméra, comme n’importe quel objet connecté, c’est un mini ordinateur sur lequel tourne un serveur web. Les gens sont contents de pouvoir commander à distance, depuis leur smartphone, leur frigo, leurs volets roulants ou leur grille-pain. Mais en fait s’ils y arrivent, ça veut dire que d’autres gens peuvent le faire, en contournant des protections souvent dérisoires. Il y a même plein d’exemples où des gens ont réussi à prendre le contrôle de voitures autonomes. Vous imaginez ? C’est un problème de fond pour les objets connectés : comme pour les caméras, ils ne demandent même pas de changer le mot de passe par défaut, il est donc tout aussi facile de les pirater. Les objets connectés sont en train de se multiplier, mais le niveau de sécurité n’augmente pas du tout. Alors c’est cocasse parce que ce sont des objets qui souvent sont censés te sécuriser. Mais si tu peux régler les alarmes de ta baraque à distance, un autre mec peut potentiellement les éteindre. C’est un peu comme si ton gilet pare-balles te plantait un couteau dans le dos.