De nombreux utilisateurs du système de vidéosurveillance Unifi de Ubiquiti ont constaté un problème majeur de sécurité en fin de semaine. En effet, de nombreuses personnes ont reçu des notifications de détections de mouvements envoyées par leurs caméras Unifi et plus particulièrement le système de surveillance de la Unifi Protect. Mais quelle fut leur surprise quand ils ont ouvert leur application pour effectuer une habituelle levée de doute.
Les images des caméras UniFi d’autres personnes en accès libre !
Les notifications ne provenaient pas des caméras des personnes et ceux-ci ont pu découvrir qu’ils n’avaient plus d’accès distant sur leurs caméras au travers du cloud, mais de caméras d’un autre utilisateur en lieu et place.
Ma femme a reçu une notification d’UniFi Protect, qui comprenait une image d’une caméra de sécurité. Cependant, voici le problème : cet appareil photo ne nous appartient pas.
Un utilisateur Unifi sur Reddit
D’autres utilisateurs affirment avoir carrément eu accès au système d’une autre personne une fois connectés sur unifi.ui.com
Un autre utilisateur affirme avoir aussi eu la main sur le portail d’un autre utilisateur, avoir eu accès à la gestion des points d’accès WiFi et avoir même créé un nouveau SSID WiFi « scoopz test who is this » sans problème! Si une personne découvre ce nouveau SSID diffusé dans sa maison, vous savez maintenant d’où il provient !
J’étais sur le point de publier que lorsque j’ai navigué sur unifi.ui.com ce matin, j’étais complètement connecté au compte de quelqu’un d’autre ! Il y avait mon email en haut à droite, mais l’UDM Pro de quelqu’un d’autre ! Je pouvais naviguer dans l’appareil, afficher et modifier les paramètres ! Terrifiant !!
UN autre utilisateur sur Reddit
Un incident quelque peu dérangeant qui remet en question la sécurité et la fiabilité du système UniFi Protect.
En règle générale UniFi a plutôt bonne réputation en matière de sécurité pour ses équipements réseaux, mais fort est de constater que cela reste un point sensible.
Ce n’est pas la première fois qu’un service de vidéosurveillance qui s’appuie sur le cloud voit sa sécurité compromise… la marque Eufy en a aussi fait les frais l’année passée. Mais voir l’ensemble des images de ses caméras mis à disposition d’un tiers représente quand même une compromission de sécurité d’un niveau important, qui va jusqu’à remettre en question la fiabilité du système UniFi Protect…
Face à l’inquiétude des utilisateurs qui s’est répandue sur la toile, la marque à publier un rapide post mortem sur le site de la communauté, expliquant que le problème n’aurait impacté que 1200 utilisateurs, qu’il aurait duré un peu plus de 9 heures avant d’être corrigé, quand même, ce n’est pas rien. Elle donne également quelques indications sur le problème sans trop s’étendre. De nombreux utilisateurs restent quand même inquiets et sont en attente d’un véritable post mortem avec plan d’action détaillé pour être enfin rassurés. D’autres envisagent carrément d’arrêter d’utiliser les produits… Il ne faut pas non plus tomber dans la paranoïa, ce type de problème est malheureusement possible sur n’importe quel service exposé sur le cloud.
Les solutions cloud encore et toujours au centre des discussions, optez pour un système simple et local pour vos caméras
Les bonne vieilles caméras IP locales avec un accès en remote géré par une bonne règle de redirection de port sur son routeur sans dépendance à un service annexe dans le cloud reste aujourd’hui un moyen simple et maîtrisé qui limite ce genre de problème.
Certes, un réseau de caméras IP locales ne propose pas d’applications mobiles sophistiquées au design léché… Mais c’est en revanche un système sur lequel l’utilisateur final seul à la main et peut en garantir l’intégrité.
Il convient simplement de sécuriser comme il se doit l’accès aux caméras avec des mots de passe forts et quelques règles de firewall ou encore l’accès via un reverse proxy simple à mettre en oeuvre sur un NAS Synology ou encore un accès VPN.
Le bon vieux NVR local est aussi une très bonne alternative face à ce genre de situations.
Add Comment