Q-SEE
Auteur : CraneFly
Zine : Rafale #1
Q-See ?
Q-See est une entreprise Canadienne, dont le siège est basé à Anaheim, qui est
spécialisée dans la vente de produits de type sécuritaire. Q-See ne se contente
pas de vendre au Canada, elle exporte également aux Etats-Unis et en Europe.
Ses produits vont de la caméra haute sécurité et de ses lecteurs aux serrures à
empreintes digitales en passant par des caméras Wireless pour surveiller son
bébé qui dort (ou qui chiale).
Beaucoup de ces produits sont équipés de systèmes d'authentification par mot de
passe et beaucoup de ces systèmes d'authentification ont des valeurs par défaut.
Tout comme en informatique, les mots de passe par défaut sont extrêmement
dangereux, car beaucoup d'administrateurs les laissent tels quels, par paresse,
par oubli ou par ignorance.
Mais les valeurs par défauts ne sont pas le seul problème que pourrait connaître
les systèmes de sécurité Q-See.
J'ai cherché et repertorié certaines failles de ces systèmes pour vous les exposer
dans ce numéro de Rafale.
Le sujet ici n'est pas une généralisation des techniques pour détourner ce genre
de systèmes, comme comment imiter une empreinte digitale ou faire du crochetage,
mais bien une spécialisation sur les problèmes possibles propres aux produits
de Q-See.
Je ne prétends evidemment pas donner toutes les possibilités pour les produits
dont je parle, mais au moins quelques-unes.
Ces derniers seront
- Une serrure à empreinte digitale
- Des enregistreurs vidéos pour caméras de sécurité
- Des serveurs web vidéos et des caméras web
- Des cartes PCI avec leur logiciel pour gestion de caméras de sécurité
- Des caméras "SPEED DOME"
QSB180 : Serrure à capteur d'empreintes digitales et à clavier numérique
Il y a 3 façons "officielles" de déverouiller ces serrures :
- Avec un NIP (Numéro d'Identification Personnel)
- Avec empreinte digitale
- Via une clef mécanique (on voit nettement la petit trou dans la poignée)
Voilà quelques manières "non-officielles", bien que, bien sûr, prévues par le
constructeur pour ouvrir ces serrures à capteur d'empreintes digitales, ce
qui nous projete directement dans la peau d'un 007 ;))
Cette serrure accepte un code de déverouillage qui a une valeur par défaut :
123 123 123 12 .
Pour le tester (donc pour utiliser ce code), il faut appuyer sur la touche 1
pendant environ 2 secondes jusqu'au signal sonore, puis entrer les 10 autres
chiffres - donc 23 123 123 12 dans le cas du code par défaut. Appuyez ensuite
sur la poignée pendant 5 secondes et elle s'ouvrira... si le code est bon.
Si il n'est pas bon, ben c'est con ! mais on a d'autres ouvertures (le mot
est bien choisit).
Une option qui peut être interessante est le "mode passage". Si une personne
rentre dans la pièce protégée par la serrure QSB180 en entrant le code de
deverouillage, vous avez 5 secondes pour sauter sur le clavier et appuyer sur
le 0 pendant 2 secondes. Cette opération mettra en route le "mode passage",
qui laisse la porte ouverte, sans aucune vérification (cette option a été prévu
par exemple pour des réunions... ou des journées portes ouvertes :p). La personne
rentrée ne s'apercevra de rien en sortant de la pièce, puisqu'il ne faut faire
aucune opération de plus que pour une porte normale pour SORTIR (c'est-à-dire
abaisser la poignée et pousser pour ceux qui n'ont jamais utilisé de porte),
c'est seulement à l'entrée qu'il faut s'identifier.
Pour reverouiller, ça peut-être utile pour effacer les traces d'un passage par
exemple, il faut entrer le code de deverouillage ou le code de relance (voir la
suite pour savoir comment les trouver une fois à l'intérieur).
On peut également avoir envie de modifier ce code de déverouillage, pour cela
voici la manoeuvre à suivre :
- Appuyer sur le chiffre 3 pendant environ 6 secondes jusqu'au "bip"
- Entrer le code de déverouillage actuel (On entend alors un nouveau signal sonore,
et le voyant vert clignote une fois)
- Entrer le nouveau code 2 fois de suite
Si l'opération a été correctement effecutée,on a droit à un nouveau biiiiip et au
clignotement de la loupiotte verte.
Le code de déverouillage doit obligatoirement commencer par 1 et se finir par 2 !
Un autre code utile, est le code d'enregistrement d'empreintes digitales, dont la
valeur par défaut est 213 213 213 21.
Il s'agit en fait du code de déverouillage inversé... donc si on connait un des 2,
on connait forcemment l'autre !!
Pour enregistrer une nouvelle empreinte, ce qui est plus pratique pour des passages
répétés, il faut donc d'abord entrer ce code. Il faut ensuite appuyer sur le touche
2 jusqu'au signal sonore (environ 2 secondes d'attente), puis entrer les 10 autres
chiffres. A vous ensuite de déposer votre doigt sur le capteur quand la lumière
rouge s'allume. Encore une fois la lumière verte s'allume si votre empreinte a bien
été enregistrée.
Pour ensuite utiliser votre empreinte, il vous faut entrer le code 0123, déposer
son doigt sur la capteur quand le voyant rouge clignote, et abiasser la poignée
pendant 5 secondes.
Bon maintenant il n'est pas toujours sûr que ces codes aient gardés leurs valeurs
par défaut. Mais il est possible de les rétablir, si on arrive à rentrer dans la
pièce protégée par un autre moyen (accompagné d'une personne ayant un accès ou par
la fenêtre ou les bouches d'aération pour rester dans l'esprit James Bond :)).
Pour cela voici la marche à suivre : du côté non-sécurisé, donc quand on est dans la
pièce (sauf si on se trouve dans une prison...) se trouve le boitier de piles,
contenant 4 piles alcalines de type AA (oui bon d'accord on s'en fout de leur type).
Il suffit donc d'ouvrir ce boitier (pas trop compliqué, ça ressemble au système
d'ouverture des GSM côté... ben côté batterie justement) et retirer une des piles.
Appuyez ensuite sur les touches 0, 1, 2 et 3 simultanément (de l'autre côté de la
porte) en remettant la pile enlevée. VOus pouvez arrêter d'appuyer sur les touches
quand vous entendrez, moins de 10 secondes plus tard, un signal sonore habituel.
Il vous faut alors rentrer le code de relance, qui par défaut est 0123 pour tout
réinitialiser. A noter que cette opération, en plus de remettre les codes par défaut,
supprimera toutes les empreintes enregistrées, ce qui est plutôt embêtant.
Pour changer le code de relance, c'est la même opération que pour changer le code
de déverouillage. Il doit cependant commencer obligatoiremnt par un 0 et se composer
au total de 4 chiffres.
Q-See propose un autre modèle de serrure à empreintes digitales, la QSE7F4, mais là
pour tout changement il faut utiliser la clef mécanique. N'étant pas un pro du
lockpicking, je ne ferai aucun commentaire, peut-être sera-ce le sujet d'un autre
article ;)
QSDNVR4R, 8R, 16R : Enregistreurs Vidéos 4, 8 ou 16 canaux numériques avec
connexions réseaux (DVR)
Ces DVR vont permettre d'enregistrer, entre autre sur disque dur, les informations
renvoyées par des caméras de sécurité.
Les produits QSDNVR4R, QSDNVR8R et QSDNVR16R/Q20DVR16CD qui permettent donc de gérer
respectivement 4, 8 ou 16 caméras à la fois, sont sécurisés par un mot de passe de 4
chiffres allant de 0 à 9. Le mot de passe par défaut est 0000.
Après être rentré, tout est possible, comme par exemple récupérer les informations
réseaux (SYSTEM SETUP >> NETWORK SETUP / MAC SETUP ); il n'y a pas de système de
droits. Je crois que pour certaines versions le mot de passe par défaut est 1111,
mais je ne suis sûr de rien, et la suite va nous montrer que de toute façon ce
n'est pas utile :)
Remarque : pour changer le mot de passe, il faut connaître l'ancien. Donc si on a
accès au sytème quand on est déjà authentifié mais que le passe a déjà été changé
par rapport à celui par défaut, on pourrait croire qu'on ne peut rien faire. Or
ce n'est pas vrai (nonon !) : il y a une option dans le menu SYSTEM SET nommée
FACTORY RESET, qui remet les valeurs du système par défaut, dont le mot de passe
que l'on connait.
Evidemment le problème avec les valeurs par défaut, c'est qu'il y a des chances
(si on peut appeler ça comme ça) que l'administrateur les aient modifiées. Et bien
sur les DVR sécurisésde Q-See, ça ne pose aucun problème ! :))))
En effet il suffit de rentrer le passe 1234 pour réinitialiser le mot de passe par
défaut (0000) !! Donc : soit on entre 0000. Soit ça marche pas, et on entre 1234
PUIS 0000. Dans tout les cas on a l'accès. C'est quand même gros nom de dieu !!
Excusez-moi je m'embale ;) Soit... pour visionner les vidéos enregistrées sur le
DVR QSDNVR4R, on peut utiliser le logiciel "PC VIEW", dont les ID et LOGIN par
défaut sont les classiques "admin".
QSDNVR8R et QSDNVR16R/Q20DVR16CD utilisent un autre logiciel, Network Viewer, qui
n'a pas de passe par défaut. J'entends déjà les pessimistes qui disent "ça y'est
c'est foutu" : pas du tout ! J'oserai même dire au contraire ! Le login est l'ip
de la machine, et le mot de passe est... le mot de passe du DVR, c'est-à-dire celui
que l'ont peut remettre facilement à sa valeur initiale :))
Pour le réseau, les valeurs par défaut sont :
- Passerelle : 192.168.1.1
- Adresse IP : 192.168.1.111
Et le masque sub net, ben 255.255.255.0 ...
Petite chose interessante : il existe une option pour le QSNDVR4R pour réinitialiser
le HDD (et donc remettre les valeurs par défaut) dans le menu SYSTEM SETUP qui se
nomme HDD FORMAT SET.
QSINBL, QSINUFO, QSWS01, QSWS04 : Servers & Internet Cameras
QSWS01 et QSWS04 sont deux serveurs web vidéos permettant de capter respectivement 1
et 4 caméras à la fois.
QSINBL/QSIPBL2 et QSINUFO/QSIPUF2 sont deux caméras "internet".
Ces 4 produits utilisent un serveur web avec une application intégrée (d'où qu'on les
appelle serveurs et caméras "internet" :)).
Sur ce serveur, une application web est installée permettant de gérer les caméras.
Pour accèder à la partie admin de cette application, on doit utiliser l'url
http://IP/cgi/adminframe, dont les login et mot de passe sont encore "admin" et
"admin".
Petite info : à la question "comment faire si on a oublié le mot de passe ?", Q-See
réponds "appuyez sur le boutton CLEAR SETTING pour réinitialiser." ... il faut donc
être sur place dans ce cas précis.
QM14DVR4R/QM14DVR4C
Ce produit Q-See est un magnifique moniteur couleur avec DVR intégré.
On a là aussi droit à un joli formulaire de LogOn, avec un numéro de machine à choisir
entre 000 et 999. Le mot de passe utilisateur par défaut est 00000000 et le mot de
passe admin par défaut 88888888.
Il intègre aussi un serveur avec une application sur le http, dont le login par défaut
est admin et le mot de passe 123456.
SuperDVR
Les cartes PCI QSPDVR04, QSPDVR08, QSPDVR16 et QSP16480 (QSPDVR16), utilisées pour
la gestion de caméras de sécurités en simultané utilisent un logiciel nommé Super-DVR.
Les valeurs de l'authentification par défaut sont :
Login : SYSTEM
Mot de passe : / (rien, nada, nothing, nieks, nicht, vide)
QSNDVR4
Les caméras QSD3803, QSD383 et QSD3808P sont des caméras de type SPEED DOME, ce qui
est apparemment la toute dernière mode au niveau des caméras de sécurité. Tout
spécialement dans la folie de la lutte anti-terrorisme que l'on connait en ce moment.
En effet peut-être que votre ville, comme beaucoup d'autres, ont augmenté
considérablement le nombre de caméras de surveillance en action... et dans ce cas
peut-être, comme chez moi, à Londres et à bien d'autres endroits, le gouvernement
a-t-il choisit des caméras de type SPEED DOME.
Quoi qu'il en soit ces 3 caméras utilisent un DVR nommé QSNDVR4, qui nécessite une
authentification par mot de passe, mot de passe qui, je ne vous surprendrai pas, a
une valeur par défaut : 111111 . (Le mot de passe est composé de 6 chiffres entre
0 et 9.)
Conclusion
Voilà un petit tour de vue de ce que j'ai pu glâner et tester comme informations sur
les produits sécurisés Q-See. Tout ce qui est dans ce texte est surtout une
réinterprétation des données officielles et techniques des produits Q-See... tout
comme en hack, il faut regarder le produit à analyser avec un autre point de vue,
pas celui d'un utilisateur qui compte suivre le manuel comme il est dit qu'il
faut utiliser le manuel, mais comme quelqu'un qui va chercher un peu plus loin,
qui veut utiliser les informations données d'une manière différente.
Je ne doute néanmoins pas du fait que les produits Q-See soient de bonne qualité,
ni que les produits distribués par d'autres entreprises soient faillibles dans la
même proportion.
Il ne faut jamais considérer des systèmes comme infaillibles sous pretexte qu'ils
ont de la gueule !
D'autant plus que quand il y a des logiciels PC, il ne faut pas perdre de vue qu'ils
sont installés sur des OS qui sont faillibles (par défaut ;)) et permettent
certainement d'accèder à des informations auxquelles on ne s'attend pas, tout comme
les produits Q-See.