Il est temps de sécuriser votre Internet

Nous, intégrateurs domotique, installons souvent chez nos clients des systèmes qui peuvent -ou doivent- être accessibles depuis « l’extérieur » : depuis un smartphone ou un ordinateur, à l’extérieur de la propriété – et donc de son réseau informatique local.

A cette fin, nous ouvrons ou faisons ouvrir des ports « entrants » (ceux qui commencent à sentir le poids de l’ennui peuvent sauter au dernier paragraphe s’ils ont besoin de motivation pour continuer cette lecture).

Le principe d’une connexion à Internet par ADSL, câble, satellite, modem RTC ou même connexion GSM de secours est toujours le même : Le modem ou le routeur se voit attribuer une adresse IP – une adresse internet – dite « publique ». Cette adresse est unique dans le monde entier. Si elle est « dynamique », elle peut être attribuée à l’un ou l’autre des abonnés de l’opérateur selon les besoins (la pénurie d’adresses IPv4 commence à se faire sentir – mais c’est un autre sujet), mais à un instant donné, une adresse IP publique identifie de façon unique un abonné, un routeur, un équipement ou un ordinateur sur le vaste réseau qu’est l’Internet. En d’autres terme : votre domicile.

Le pendant de ces adresses « publiques » est – sans surprise – l’ensemble des adresses « privées ». Une adresse privée, dite non routable (encore un concept que je ne vais pas développer ici et maintenant), est l’adresse IP (Internet Protocol) d’une machine sur un réseau local. Votre ordinateur, votre iPhone, votre lecteur Blu-Ray, votre téléviseur connecté, vos caméras IP, tout ce qui peut accéder à internet et est connecté à votre réseau local, par un câble ou en wifi.

UB-ER-3_large

C’est là qu’intervient le concept de routeur. Habituellement intégré à la « box » de votre fournisseur d’accès, le routeur se charge de recevoir les requêtes des appareils du réseau local, de transmettre cette requête au serveur demandé (par exemple pour afficher une page web, récupérer un mail ou synchroniser un fichier sur DropBox) et de transmettre la réponse au demandeur. Ceci est totalement transparent tant qu’il s’agit de connexions sortantes (depuis un appareil du réseau local vers l’Internet).

Exemple : Votre iPhone avec l’adresse privée 192.168.1.27 demande sa page d’accueil à google (adresse publique 173.194.35.110), le routeur transmet la requête à Google, reçoit la réponse, et se souvient qu’il doit la faire suivre à votre iPhone.

Facile.

En revanche, s’il s’agit de rendre disponibles un ou plusieurs services d’une machine du réseau local depuis l’extérieur (pour accéder à des caméras, à un dispositif domotique connecté au réseau, par exemple), la solution la plus simple est de faire de la « translation d’adresse ». Restez avec moi encore quelques lignes, cette introduction nécessaire va déboucher sur des questions plus concrètes.
L’exemple des caméras est pertinent : la plupart des sociétés de sécurité qui installent un enregistreur de caméras font en sorte que cet équipement soit accessible depuis l’extérieur (demande bien légitime de la part des clients, qui veulent pouvoir vérifier que personne ne récolte leurs carottes ou pire en leur absence). De plus, cet accès distant aux caméras est souvent mis en place afin de permettre une « levée de doute » en cas de déclenchement d’alarme. S’il est apparent que des intrus sont en train de s’attaquer au coffre, il est urgent d’envoyer un agent. Si c’est simplement la femme de ménage qui s’est trompée en tapant le code, il n’est probablement pas utile d’appeler le 17.

Cam_BW

Exemple : votre iPhone connecté en 3G demande à afficher les caméras de votre domicile. Il envoie donc une requête à l’adresse publique de votre connexion ADSL (par exemple 177.35.7.224) sur le port 56666. Le routeur sait que le port 56666 concerne l’enregistreur, il fait donc suivre la requête, et transmet la réponse à votre iPhone. Rien n’identifie votre iPhone comme un client « légitime » : toute demande sur ce port aurait été transmise à l’enregistreur…

Récemment, chez un de nos clients, la connexion réseau du système de commande d’éclairage est « tombée », et ce deux fois à seulement quelques jours d’intervalle. Une fois les causes matérielles écartées (qualité du câble, panne de la carte réseau), nous avons extrait un fichier de diagnostic du processeur et l’avons envoyé au support technique. Leur réponse est tombée deux jours après : le processeur a reçu des demandes de connexion provenant de Russie et d’Italie, et a fini par couper toute connexion réseau, saturé par ces tentatives d’intrusion.

Les conséquences de telles attaques, automatiques et effectuées par des « robots » (des machines recherchant systématiquement des points d’entrée sur des adresses IP prises au hasard), n’ont été qu’un désagrément passager (perte de l’accès à distance et de la commande de la lumière depuis les dalles tactiles de l’installation). Mais on ne peut s’empêcher de réfléchir à ce que pourrait faire une personne mal intentionnée à l’aide des mêmes outils.

Sachant que la plupart des enregistreurs de caméras proviennent du même constructeur chinois, même s’ils sont vendus sous une douzaine de marques et de formats (4, 8, 16 caméras, graveur de CD optionnel, etc.), et que le port par défaut, les noms d’utilisateur et leurs mots de passe sont systématiquement les mêmes – et que bien peu d’installateurs prennent la peine de les modifier, il est tout à fait imaginable que des personnes non autorisées accèdent non seulement aux images des caméras mais également à l’historique des enregistrements.
Quel outil intéressant, pour un malfaiteur, de pouvoir vérifier que la maison est vide avant un cambriolage ! De savoir où sont situées les caméras ! De pouvoir étudier les habitudes de ses occupants pour pouvoir – pourquoi pas – prendre un otage et demander une rançon ? Vous pensez que je regarde trop Les Experts ? Google regorge de liens vers des outils permettant de scanner les ports ouverts sur une adresse internet. D’autres sites listent les usages habituels de tel ou tel port. Les forums d’installateurs d’enregistreurs vidéo permettent de retrouver les mots de passe par défaut de toutes les marques courantes…
images
Et quand bien même il ne s’agirait que d’apprentis hackers avec trop de temps libre, êtes-vous certain que personne ne regarde vos caméras ? On m’a rapporté le cas d’une caméra de surveillance type baby-phone, accessible depuis l’extérieur. Un farceur avait pris la main dessus et parlait au bébé à travers le haut-parleur intégré (flippez ici).

La solution ? Pour commencer, ne plus utiliser la translation d’adresse (NAT, ouverture de ports, tous ces termes recouvrent la même solution) mais mettre en place un réseau privé virtuel. Un VPN.
Un VPN est une connexion cryptée entre un client (ordinateur, smartphone) et votre routeur. Différents types de VPN autorisent différents niveau de sécurité, mais même le plus simple des VPN sera plus sûr que l’ouverture de ports vers les machines de votre domicile. Bien sûr, cela implique dans la plupart des cas de remplacer la « box » de votre fournisseur d’accès, ou de ne l’utiliser qu’en tant que modem – et de confier le routage à des équipements de niveau professionnels. Cela implique également de paramétrer le VPN sur votre smartphone et votre ordinateur. C’est un investissement, une contrainte, mais voulez-vous vraiment courir le risque qu’un gamin en Russie ou qu’un cambrioleur professionnel puisse regarder les caméras que vous avez fait installer chez vous ?

N’hésitez pas à demander conseil à notre équipe, si vous pensez que votre connexion Internet n’est peut-être pas si sécurisée que cela. Pour notre part, nous proposons dorénavant systématiquement de sécuriser les installation que nous savons exposées à un quelconque risque d’intrusion… surtout si c’est de notre fait !