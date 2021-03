Un petit groupe de pirates informatiques a visionné des images de surveillance en direct et archivées de centaines d’entreprises, dont Tesla Inc, en obtenant un accès administratif au fabricant de caméras Verkada au cours des deux derniers jours, a déclaré à Reuters l’une des personnes impliquées dans la violation. Le développeur de logiciels suisse Tillie Kottmann, qui a attiré l’attention pour avoir découvert des failles de sécurité dans les applications mobiles et d’autres systèmes, a partagé des captures d’écran sur Twitter depuis un entrepôt Tesla en Californie et une prison de l’Alabama dans des messages à Reuters. Kottmann a refusé d’identifier d’autres membres du groupe.

Kottmann a déclaré qu’ils cherchaient à attirer l’attention sur la surveillance omniprésente des personnes après avoir trouvé des informations de connexion pour les outils administratifs de Verkada publiquement en ligne cette semaine. Verkada a reconnu une intrusion, affirmant qu’elle avait désactivé tous les comptes d’administrateur internes pour empêcher tout accès non autorisé.

«Notre équipe de sécurité interne et notre société de sécurité externe enquêtent sur l’ampleur et la portée de ce problème, et nous en avons informé les forces de l’ordre» et les clients, a déclaré la société. Kottmann a déclaré que la Verkada avait coupé les heures d’accès des pirates avant que Bloomberg ne signale pour la première fois la violation mardi. Le groupe de piratage, s’il avait choisi, aurait pu utiliser son contrôle de l’appareil photo pour accéder à d’autres parties des réseaux de l’entreprise chez Tesla et les éditeurs de logiciels Cloudflare Inc et Okta Inc, selon Kottmann.

Cloudflare a déclaré que ses mesures de sécurité sont conçues pour empêcher une petite fuite de devenir une intrusion plus large et qu’aucune donnée client n’a été affectée. Tesla et Okta n’ont pas répondu aux demandes de commentaires. Une liste de comptes d’utilisateurs Verkada fournie par le groupe de piratage et vus par Reuters comprend des milliers d’organisations, y compris la chaîne de gymnases Bay Club et la startup de technologie de transport Virgin Hyperloop.

Reuters n’a pas pu vérifier indépendamment l’authenticité de la liste ou des captures d’écran distribuées par Kottmann, mais elles ont inclus des données détaillées et ont correspondu à d’autres documents de Verkada.

La prison du comté de Madison en Alabama, le Bay Club et Virgin Hyperloop n’ont pas répondu aux demandes de commentaires. Verkada indique sur son site Web qu’elle compte plus de 5 200 clients, y compris des villes, des collèges et des hôtels. Ses caméras se sont avérées populaires car elles s’associent à un logiciel pour rechercher des personnes ou des éléments spécifiques. Les utilisateurs peuvent accéder aux flux à distance via le cloud. Dans une interview accordée à Reuters en 2018, le directeur général Filip Kaliszan a déclaré que Verkada avait délibérément permis à de nombreux utilisateurs d’une organisation de regarder des flux vidéo en direct et de les partager en toute sécurité, par exemple avec les intervenants d’urgence.

Verkada a levé 139 millions de dollars en capital-risque, le dernier financement annoncé il y a un an évaluant la start-up de la Silicon Valley à 1,6 milliard de dollars. Verkada a fait l’objet d’un examen minutieux l’année dernière après que Vice a rapporté que certains employés avaient utilisé des caméras d’entreprise et sa technologie de reconnaissance faciale pour prendre et partager des photos de collègues féminines. Kaliszan a décrit plus tard le comportement comme «flagrant» et a déclaré que trois personnes avaient été licenciées à cause de l’incident.