J’ai assisté ce jour à une expertise technique du système de visiophonie de mon immeuble. Personne ne comprenait rien au système: l’expert, les avocats, les utilisateurs finaux mais aussi la boîte qui la conçu et vendu. Du coup c’était très similaire à l’IT classique.

Mon moment préféré à quand même été quand la société qui a conçu l’infra a parlé de RGPD et de sécurité. La boîte qui pour des raisons de maintenance a caché un raspi dans l’immeuble qui connect back via ssh en root sur un serveur OVH utilisé pour tous leurs « clients ».

Non le FS du raspi n’était pas chiffré évidemment et la connexion ssh se faisait par mot de passe, c’est toujours le cas car sinon il faudrait se déplacer pour changer les raspi. https://t.co/tNmmtumSZN

Plus sérieusement ces systèmes mériteraient un talk détaillé tellement c’est géré n’importe comment. Plusieurs Switchs sont présents dans mon immeuble, protégés par des portes de placard. Tout le monde peut s’y brancher au pire le RJ45 arrive dans chaque appart.

Tous les équipements sur le LAN ont leurs pass par défaut, on peut changer le wave de bienvenue quand on ouvre la porte de l’immeuble du coup c’est drôle. On peut aussi sûrement abuser du SIP ou des services exposés pour taper les tablettes Android pas à jour pour écouter.

On peut aussi déclencher la vidéo de l’entrée de l’immeuble à volonté bien sûr et regarder ce qu’il s’y passe sans être appelé. Et sinon bah en visiophone ça marche pas dans 1/5 des appartements de la résidence. https://t.co/wLrigBturF

Bref j’ai tenté d’apporter mon « expertise » personnelle, on m’a rétorqué que c’était justement un « débat d’expert et qu’on n’était pas là pour ça » Ah. Le problème étant que notre « LAN » n’était plus raccordé à internet, Ah. Après je suis rentré chez moi.