Hacktu Magazine Le magazine de la cybersécurité
Les automobilistes ivoiriens commencent progressivement à s’habituer à être constamment surveillés sur les routes, par un réseau de cameras intelligentes dédiés à la constatation et au signalement des infractions au code de la route. Les sanctions peuvent être très lourdes, partant de la simple amende contraventionnelle au retrait des points sur le permis de conduire. C’est une innovation salutaire impulsée par le ministère du transport ivoirien, qui tire parti de l’essor de l’intelligence artificielle et du développement de l’infrastructure numérique dans le pays.
Cependant, comme toutes les innovations technologiques dans le domaine du numérique, la généralisation de la vidéo-verbalisation ne se fera assurément pas sans corollaire de contre-innovations. Il est évident qu’une franche portion des automobilistes ivoiriens, rechercheront des moyens d’échapper au contrôle de ces « yeux de la route » et tirer profit des faiblesses organisationnelles du système.
Le système national de vidéo-verbalisation repose sur un réseau de caméras interconnectées dites intelligentes. Ce qui implique que ces caméras ont la capacité d’être actives, c’est-à-dire d’initier une communication sans l’intervention humaine, en fonction de déclencheurs qui y ont été préalablement configurés. En d’autres termes, elles disposent d’une certaine autonomie d’action qui leur permet d’émettre un signalement vers leur base de traitement d’information centralisée, auxquelles elles sont connectées.
Techniquement, les caméras disposent d’un moyen de communication sans fil, qui leur permet de transmettre les informations d’infractions au code de la route, être paramétrées à distance, mises à jour, etc, à distance. Ceci dit, de nombreuses attaques informatiques sont susceptibles d’être réalisées contre le réseau de caméras intelligentes.
Comment fonctionnent les caméras de vidéo-verbalisation ?
Cet article n’est pas le résultat d’un travail de recherche et d’évaluation du système en production, car l’auteur n’en a ni l’autorisation, ni les prérogatives. Il s’agit plutôt de mettre en lumière les risques potentiels en s’appuyant sur l’état de l’art et des connaissances en la matière.
L’observation des caméras de vidéo-verbalise laisse penser qu’il s’agit probablement de caméras radars de vitesse moyenne basées sur la technologie ANPR (Automatic Number Plate Recognition). Les spécialistes considèrent que les caméras de ce type sont plus efficaces pour gérer les dépassements de vitesse car elles ne capturent pas la vitesse à un seul point de contrôle, mais la vitesse moyenne entre deux points de contrôle. De plus, elles sont munies de puissants projecteurs de lumière à infrarouge complètement invisible pour le conducteur, mais utile pour capter des images dans toutes les conditions, 24h/24.
Notez que l’image est monochrome (blanc-noir) puisque le spectre infrarouge est au-dessus du spectre de couleurs normal. Dans un format type, est composé de 256 niveaux de gris allant du noir (niveau de gris 0) au blanc (niveau de gris 255). Pour un format classique, il y a 768 X 288 pixels (PICture ELements), soit environ 0,2 million d’éléments. Cette grande quantité d’informations est traitée par le logiciel de reconnaissance afin de localiser et lire automatiquement la plaque, ou prendre une photo du conducteur pour les infractions de type usage du téléphone au volant, ou non-port de la ceinture de sécurité.
Dans le cas de la détection des dépassements de vitesses, les caméras radar sont configurées pour émettre automatiquement un signalement en cas de dépassement des vitesses autorisées, préalablement paramétrées. Les caméras connectées à des deux tricolores, quant à elles, sont automatiquement activées dès lors que le feu tricolore vire au rouge, ce qui permet de capturer une image de tout véhicule qui traverse le champ visuel de l’objectif de la caméra, jusqu’à ce qu’elle soit à nouveau désactivée au prochain feu vert. On peux imaginer que pour les autres infractions, le choix est laissé aux opérateurs humains de constater les infractions en se basant sur les images qui sont transmises par les caméras de vidéo-verbalisation.
En fin de processus, toutes cette masse d’information est transmise à intervalle de temps régulier à un centre de traitement, afin d’être évaluée par des agents verbalisateurs avant d’être communiquées au personnes concernées. En ce qui concerne le mode de stockage, elles peuvent soit être stockées dans des bases de données centrales ou décentralisées (une pour chaque zone ou caméra, etc.).
Comment ces caméras peuvent-elles être piratées ?
Les risques de sécurité peuvent être liés tout d’abord aux pratiques de sécurité mises en œuvre par les équipes en charge de l’administration du système ou aux vulnérabilités intrinsèques des composants logiciels et matériels des caméras.
Avec l’augmentation du nombre de caméras, la question de la gestion de l’accès distant est un des premiers défis à relever. En effet, étant donné qu’il s’agit de périphériques gérables à distance, il est probable que le moyen de connexion aux caméras soit un accès par navigateur web ( sur le port 80 ou 443), soit par Telnet (port 23), soit ssh sur le port 22. Quoiqu’il en soit, la question de la sécurité du code d’accès reste au centre du problème. Un attaquant pourrait s’investir dans des attaques de brute-force pour casser les mots de passe les plus faibles ou deviner simplement les mots de passe en usant de différents stratagèmes. Par ailleurs, quelques éléments d’informations disponibles sur les contraventions numériques sont un excellent point de départs pour une collecte d’information ciblée. Il faut espérer que des processus rigoureux de sécurité soient imposés aux opérateurs et gestionnaires de ces plateformes.
En 2015 aux USA, l’Electric Frontier Foundation (EFF) a révélé que les caméras de reconnaissance automatique des plaques d’immatriculation (ANPR) peuvent être piratées par toute personne disposant d’une connexion Internet, car les forces de police ne les sécurisent pas correctement. L’EFF a testé plus de 100 caméras en fonctionnement par des unités d’application de la loi aux États-Unis et a découvert qu’elles étaient accessibles par des interfaces accessibles au public, qui comprenaient des flux en direct sur le fonctionnement de la caméra. Les tests consistaient à répondre aux requêtes envoyées par le matériel et à le connecter à un navigateur Web ou à Telnet. Dans certains cas, la caméra et Telnet étaient protégés par un mot de passe. Cependant, parfois, l’organisation a pu trouver les détails du mot de passe sur la configuration Telnet. Les travaux de l’EFF ont été grandement influencé par les données révélées John Matherly, le propriétaire du moteur de recherche d’appareils connectés Shodan. Matherly a pu extraire jusqu’à 64 000 images de plaques d’immatriculation pour une preuve de concept lors d’une conférence de piratage.
En outre, l’exploitation des vulnérabilités intrinsèques des caméras peuvent être liées à la faiblesses des mécanismes de chiffrement implémentés pour les communications ou d’autres failles de conceptions logicielle. Du fait que les caméras communiquent via un réseau sans-fil, des attaquants pourraient intercepter les échanges et tenter des lire si elles sont transmises en clair, ou tenter de les « casser » si elles sont chiffrées avec des mécanismes cryptographiques faibles ou mal implémentés. Un exemple serait l’usage de versions vulnérables du protocoles TLS/SSL, qui ouvre la voie à des attaques de type Man in the Middle, downgrade attack, etc. Par ailleurs, le développement des techniques d’exploitation des vulnérabilités des objets connectés propose un large spectre de d’attaques possibles contre les caméras de vidéo-verbalisation.
Quels risquent si les caméras de vidéo-verbalisation étaient piratées ?
La grade résolution d’image et la puissance des algorithmes d’intelligence artificielle qui les propulsent font des caméras de vidéosurveillance, de puissants outils de surveillance qui peuvent être utilisés par les chargé d’assurer la sécurité routière, mais également tout autre service de lutte contre la criminalité (police, gendarmerie, etc.). Par exemple, elle sont capables de lire automatiquement chaque plaque d’immatriculation de véhicule qui circule sur les routes et les comparer instantanément à une base de données d’enregistrements de véhicules d’intérêt. Cela peut déclencher une alerte si un véhicule connu pour être lié à des vols ou à la consommation de drogue passe devant la caméra, par exemple. Il peut également alerter les agents si une voiture sans visite technique, taxe ou assurance est utilisée sur la voie publique.
Les risques de sécurité sont énormes, car un pirate peut accéder une mine d’information liée aux usagers de la route. En effet, étant donné que les caméras de vidéo-verbalisation lisent toutes les plaques d’immatriculation, il sera possible pour le pirate de tracer vos déplacements, les endroits que vous fréquentez et bien plus. Dans le cadre d’une attaque réalisée par un groupe APT, il sera possible d’infecter les réseaux de tous les services interconnectés ou interagissant avec le système de vidéo-verbalisation, notamment les services d’application de la loi, les impôts, etc.
En résume, le système de vidéo-verbalisation implique d’énormes avantages pour la sécurité routière et dans une mesure plus large pour la sécurité publique. Mais comme chaque innovation, l’usage de ces moyens intelligents de communication implique obligatoirement un niveau élevé de maturité du point de vue de la cybersécurité. Malheureusement, la pratique prouve que sous nos tropiques, les décisions sont plus portées vers la mise en production rapide des plateformes numériques au détriment des aspects liés à la sécurité. Comme pour tous les autres systèmes de surveillance et de sécurité déployés ces dernières années au plan national, il est plus que vital de procéder à une évaluation profonde de la cybersécurité et implémenter des mécanismes intégrés pour protéger la vie privée des citoyens et les données sensibles qui y sont traitées.
Références:
https://www.rac.co.uk/drive/advice/cameras/speed-cameras/#average-speed-cameras
