« Je n’ai même pas eu à utiliser autre chose que mon navigateur pour cette opération », fanfaronnait sur Twitter l’hacktiviste Tillie Kottman, quelques minutes avant la suspension de son compte. Elle a choisi le réseau social pour publier des captures d’écran prises depuis des caméras de surveillance de la startup Verkada. En tout, Kottman a eu accès le 9 mars au flux de plus de 150 000 caméras, situées dans toutes sortes d’organisations : commissariats, hôpitaux, écoles, prisons, et plusieurs entreprises réputées comme Tesla et Cloudflare.

Tillie Kottman se présente comme porte-parole du groupe « Arson Cats » (les « Chats Incendiaires », en français), une référence ironique aux noms grandiloquents que les chercheurs attribuent aux unités cybercriminels. À Bloomberg, la hackeuse non-binaire livre ses motivations : « beaucoup de curiosité, le combat pour la liberté d’information et contre la propriété intellectuelle, une grande dose d’anticapitalisme, et une pincée d’anarchisme ». D’un ton plus sérieux, elle dénonce la facilité avec laquelle elle a infiltré l’entreprise de surveillance. En revanche, le groupe n’aurait cherché ni le profit financier ni la collecte d’information. L’opération telle que présentée relève juste du coup d’éclat, destiné à attirer l’attention.

Des hacktivistes ont accédé à des milliers de caméras de sécurité grâce à une erreur grossière

Les hackers ont accédé à 222 caméras de surveillance situées dans des usines Tesla. // Source : Wikipedia

Les hackers sont devenus des « super admin »

Pour obtenir l’accès à l’intégralité des caméras de Verkada, on s’imagine que le groupe a exploité une chaîne de vulnérabilités complexes à l’aide d’outils de haut niveau. Et bien non, ce n’est absolument pas le cas. Les Arson Cats ont simplement trouvé un duo d’identifiants exposé publiquement dans un dépôt de code de Verkada. Ces identifiants permettaient de se connecter à un compte « super admin », c’est-à-dire un compte avec un très haut niveau d’autorisations.

Grâce à ce formidable passe-partout, ils ont pu disséquer l’activité de l’entreprise, et ouvrir pratiquement tous les accès. Kottman affirme que le groupe a ainsi mis la main sur l’intégralité des archives vidéos des clients de Verdaka, la liste de ses plus de 5 000 clients, ainsi que le bilan financier de la startup — un document confidentiel et critique pour ce genre d’entreprise en plein développement, dépendante de levées de fonds. Le compte super admin leur offrait aussi un accès à la racine des caméras. Autrement dit, ils n’avaient pas qu’un accès au flux vidéo, mais ils pouvaient aussi prendre le contrôle des caméras. Pire, les hackers auraient pu utiliser leur accès pour rebondir sur le système des clients de Verkada, et lancer d’autres attaques.

Le compte compromis a été bloqué

La startup est en phase de test d’une technologie de reconnaissance faciale destinée à identifier et catégoriser les personnes filmées. Appelée « People Analytics », elle permet de chercher et filtrer les personnes en fonction d’attributs physiques comme leur visage, leur apparence de genre, ou encore la couleur de leurs vêtements. Plusieurs géants du secteur, comme IBM, ont abandonné leurs projets autour de ce genre de technologie, dont les résultats finissent très souvent par accentuer les discriminations. Les hacktivistes voient les dérives de la technologie du même œil, d’autant plus quand elle est particulièrement mal protégée.

Verkada a bloqué les comptes exploités par le groupe après que Bloomberg leur a posé des questions. Puis la startup a déclaré au BleepingComputer : « nos équipes de sécurité internes et une entreprise de sécurité externe enquêtent sur l’échelle et la portée du problème, et nous avons averti les autorités ».