La Mairie de Brest a oublié de sécuriser sa webcam

Dans mes balades dans le web je suis tombé, un peu par hasard, sur une webcam qui a attiré mon attention.

Mais… je connais ça! C’est la Place de la Liberté à Brest! C’est la webcam de la Mairie!

Je pouvais pas le croire, moi. Surtout lorsque j’ai approfondi un petit peu et je suis tombé sur la page d’administration de la caméra, une Axis 2120, avec l’interface d’administration Axis Network Camera 2.43. Tout ça sur une adresse http (même pas https !). Heureusement, le login et mot de passe n’étaient pas admin:admin, mais presque.

Je ne vais pas mettre ici le lien directe vers la page d’administration, ça serait pas trop civilisé, mais je vais prendre une capture d’écran pour vous montrer jusqu’à quel point il n’ont même pas changé quoi que ce soit (à part peut-être du mot de passe) :

Donc voilà, je ne sais pas ce que vous pensez, mais à mon avis l’administrateur réseau de la Mairie devrait prendre plus au sérieux la sécurité…

Tags: Bretagne, Web 2.0

Ce billet a été mis en ligne par Horacio Gonzalez le 18-09-2006 à 13:34. Vous pouvez suivre les commentaires en utilisant ce feed RSS 2.0. Vous pouvez laisser un commentaire, ou faire un retrolien depuis votre site.

2 commentaires à “La Mairie de Brest a oublié de sécuriser sa webcam”

jyc Says:
19-09-2006 à 13:24
J’ai rien compris ???? C’est si grave que ça de tomber sur la page d’administration de la caméra ?
LostInBrittany Says:
19-09-2006 à 14:11
Grave, grave, ce n’est pas trop grave…

Mais c’est une mauvaise pratique de sécurité. Car cela veut dire que depuis l’extérieur il est possible de prendre le contrôle de la webcam, soit en profitant d’une vulnérabilité du software soit avec des attaques de dictionnaire pour trouver le mot de passe soit avec un sniffer qui chope le mot de passe, car elle voyage en clair (http, non https).

Qui va s’amuser à faire ça, vous pouvez me dire… Plein de monde, n’importe quel script-kid en quête d’un système à conquérir.

Et surtout grave, car la solution serait simple. En plaçant le serveur de la webcam à l’intérieur de l’intranet de la mairie et en laissant passer seulement l’image mais pas l’administration avec un proxy inverse.

Pour avoir une idée, c’est aussi mauvais que qulqu’un qui laisse son windows connecté à internet sans aucun firewall. Et oui, il y a le mot de passe qui protège… mais je suis persuadé que l’ordinateur serait craqué/infecte en quelques heures. La webcam n’est pas aussi vulnerable, d’accord, mais le principe est le même.