C’est le moins que l’on puisse dire, mais la dernière étude Genetec n’est pas très rassurante. Elle révèle que près de 4 caméras de sécurité sur 10 présentent un risque de cybersécurité (et donc de piratage des images) lié à un firmware obsolète.
Genetec est un leader de solutions unifiées de sécurité, de sûreté publique et d’opérations de surveillance. Sa nouvelle étude, menée sur un échantillon de 44 763 caméras connectées à des systèmes prenant part au programme facultatif d’amélioration des produits de Genetec, montre clairement que les entreprises n’ont toujours pas pleinement conscience des risques induits par l’IoT et tardent à mettre en place les bonnes pratiques en la matière.
Selon Genetec, jusqu’à 68,4% des caméras de sécurité d’une entreprise, soit près de 7 sur 10, n’ont pas été mises à jour avec la dernière version disponible de leur micrologiciel.
Or plus de la moitié des caméras (53,9%) dotées d’un firmware obsolète présentent des vulnérabilités de cybersécurité connues.
« En extrapolant à un réseau de sécurité moyen, cela signifie que près de 4 caméras sur 10 sont vulnérables à une cyberattaque », explique Mathieu Chevalier, Lead Security Architect chez Genetec.
Le manque de rigueur quant aux mises à jour des firmwares n’est pas la seule faille très répandue de l’univers IoT. L’autre grand risque, c’est la mauvaise habitude qui consiste à ne pas modifier les mots de passe par défaut de ces appareils. Les caméras modernes imposent aujourd’hui toute la saisie d’un nouveau mot de passe lors de leur première initialisation. Mais une autre mauvaise pratique continue d’être très répandue : celle d’utiliser le même mot de passe pour toutes les caméras de l’entreprise.
Selon Genetec, près d’une entreprise sur quatre (23%) n’utilise pas de mots de passe uniques, mais le même mot de passe pour toutes les caméras d’un même fabricant. Il suffit alors qu’une seule caméra soit compromise (en utilisant par exemple une faille de son firmware) pour que des pirates puissent alors prendre le contrôle de toutes.
« Notre étude montre que, malheureusement, l’approche informatique qui consiste à ‘configurer et oublier’ reste répandue, mettant en danger la sécurité de toute une entreprise et la vie privée des individus », regrette Mathieu Chevalier. « Il suffit d’une seule caméra avec un micrologiciel obsolète ou un mot de passe par défaut pour créer une faille dans laquelle un attaquant peut s’engouffrer et compromettre l’ensemble du réseau. Il est essentiel que les entreprises soient aussi proactives dans la mise à jour de leurs systèmes de sécurité physique que dans celle de leurs réseaux informatiques. »
Une étude qui soulève une fois de plus les risques liés à l’IoT et la nécessité pour les DSI et RSSI d’intégrer des appareils autrefois du domaine de la sûreté à leurs bonnes pratiques en matière de cybersécurité.