Le directeur de la cybersécurité de Hikvision discute de l’utilisation de l’authentification multifacteur (AMF) pour réduire les problèmes de sécurité et les risques de piratage de mot de passe

mai 29, 2019

Hikvision Chuck Davis Multi factor authentication blog article cybersecurity

Dans le dernier blogue Hikvision, nous avons discuté des stratégies de gestion des mots de passe et de l’utilisation de gestionnaires de mots de passe pour réduire les problèmes de sécurité.         

Aujourd’hui, nous discuterons de l’utilisation de l’authentification multifacteur pour vous protéger en ligne et réduire le risque de piratage de votre mot de passe.

AMF : L’authentification multifacteur pour la protection de vos comptes en ligne

Pas besoin d’être un génie en informatique pour utiliser l’authentification multifacteur. Ne vous inquiétez pas, il n’est pas nécessaire de retourner sur les bancs d’école et de décrocher un autre diplôme. L’AMF – ou authentification multifacteur– exige qu’un utilisateur fournisse un moyen supplémentaire d’authentification ou de vérification, en plus d’entrer un nom d’utilisateur et un mot de passe, afin de se connecter à un compte ou à un site Web.

Avant de nous pencher sur l’AMF, parlons rapidement de l’authentification. Traditionnellement, l’authentification se compose de deux choses, un nom d’utilisateur et un mot de passe.

Le nom d’utilisateur est censé être l’identité du compte. Celui-ci n’a pas besoin d’être privé ou difficile à comprendre. En fait, dans la plupart des cas, le nom d’utilisateur est censé être public ou au moins visible pour les autres utilisateurs qui utilisent les mêmes système, service, réseau, etc.

Le mot de passe est le secret que l’utilisateur doit dire pour accéder au système, au service, au réseau, etc. L’utilisation d’un nom d’utilisateur et d’un mot de passe est connue sous le nom d’authentification à un facteur, car l’utilisateur vérifie son identité avec un seul élément de preuve ou un seul facteur.

L’AMF ajoute au moins deux éléments de preuve ou facteurs vérifiables au processus d’authentification. Cela réduit considérablement les problèmes de sécurité en diminuant les chances qu’un compte soit consulté par la mauvaise personne. L’authentification à deux facteurs (2FA) est un sous-ensemble de l’AMF : c’est un moyen d’authentification utilisant seulement deux éléments de preuve ou facteurs vérifiables. Un exemple réel de 2FA est l’utilisation d’un guichet automatique. Vous utilisez quelque chose que vous avez, votre carte débit, et quelque chose que vous savez, votre NIP.

Il y a généralement quatre facteurs d’authentification que nous pouvons utiliser aujourd’hui :    

  1. Quelque chose que vous avez (par exemple, un générateur de numéros comme Google Authenticator)
  2. Quelque chose que vous savez (c.-à-d. un mot de passe ou une phrase secrète)
  3. Qui vous êtes (p. ex. un élément biométrique comme une empreinte digitale ou la géométrie faciale)
  4. Où vous êtes (c.-à-d. votre position GPS établie par votre téléphone ou adresse IP)

Ci-dessous, j’expliquerai quelques options dans chacune de ces catégories.

Jeton matériel : Quelque chose que vous avez

Un jeton matériel peut prendre plusieurs formes. Dans les années 90, on voyait toujours qui étaient les informaticiens d’une entreprise, car ils avaient un porte-clés muni d’un petit écran dont les chiffres changeaient toutes les 30 secondes. Ces objets génèrent ce qu’on appelle un mot de passe à usage unique basé sur le temps (Time-based One Time Password ou TOTP). Bien que ces porte-clés soient encore utilisés aujourd’hui, la plupart des implémentations de TOTP sont exécutées à l’aide d’une application mobile ou d’un message SMS (voir ci-dessous). Un autre jeton matériel populaire est le Yubikey. Il s’agit d’un jeton matériel qui est généralement branché sur le port USB d’un ordinateur. Certains Yubikey prennent en charge la communication en champ proche, ce qui leur permet de fonctionner avec des appareils sans port USB, comme un iPhone. Pour utiliser le jeton, vous devez vous connecter avec votre nom d’utilisateur et votre mot de passe, puis un champ apparaît sur la page qui demande l’authentification Yubikey. Au lieu de taper dans ce champ, l’utilisateur branche la Yubikey et touche le capteur. Au moyen de la connexion physique, la clé est entrée par la Yubikey.

SMS TOTP : Quelque chose que vous avez    

Le mot de passe à usage unique par SMS consiste en un message texte ou un courriel contenant un code numérique, appelé mot de passe à usage unique (One-time password ou OTP) parce qu’il n’est valable que pour une seule utilisation. Cette méthode est moins populaire auprès des professionnels de la cybersécurité, car elle s’est avérée faible par rapport à d’autres options, mais elle est quand même BEAUCOUP plus sécuritaire que la seule utilisation d’un nom d’utilisateur et d’un mot de passe. 

Jeton de mot de passe à usage unique basé sur le temps (TOTP) : Quelque chose que vous avez

Une autre méthode populaire est l’utilisation d’un générateur de TOTP comme ceux que l’on trouve sur les anciens porte-clés RSA ou dans les applications pour téléphones intelligents comme Google Authenticator, LastPass, FreeOTP et autres. Ces numéros changent toutes les 30 secondes en fonction d’un algorithme partagé que le jeton logiciel et le serveur d’authentification connaissent tous deux. Aucune communication réseau ou Internet n’est nécessaire pour utiliser le jeton logiciel. L’image ci-dessous montre le jeton basé sur le temps sur un téléphone mobile et le champ où il est entré dans la page Web après que le nom d’utilisateur et le mot de passe sont entrés dans Google.

Téléphone/courriel : Quelque chose que vous avez     

Deux autres options de TOTP sont la réception d’un appel téléphonique ou d’un courriel contenant le code d’AMF. Bien que ce soit mieux que rien, il a été démontré à maintes reprises combien il est facile pour une personne malveillante d’intercepter ou d’utiliser cette option à l’insu de l’utilisateur qui possède le compte.

Codes de sauvegarde : Quelque chose que vous avez

Des codes de sauvegarde vous sont fournis lorsque vous intégrer l’authentification multifacteur sur de plusieurs sites. L’idée derrière les codes de sauvegarde est de les protéger dans un bureau verrouillé, un coffre-fort ou une chambre forte cryptée, comme votre gestionnaire de mots de passe. Ceux-ci ne sont utilisés que si vous perdez ou n’avez pas accès au dispositif d’AMF que vous utilisez régulièrement. Par exemple, si votre téléphone est volé, vous ne pouvez plus utiliser Google Authenticator. Dans ce cas, vous pouvez utiliser vos codes de sauvegarde pour vous connecter à votre compte.

Biométrie : Qui vous êtes

La biométrie est devenue courante avec l’intégration de lecteurs d’empreintes digitales et de technologies de reconnaissance faciale dans les appareils mobiles et les ordinateurs portables. Cependant, dans ces systèmes, la biométrie vient remplacer le nom d’utilisateur et le mot de passe plutôt d’ajouter un facteur d’authentification. Actuellement, la biométrie est peu courante dans l’authentification multifacteur en ligne, mais il est possible de l’utiliser.

GPS : Où vous êtes

La localisation GPS est un autre facteur qui n’est pas beaucoup utilisé pour l’AMF, mais elle est fréquemment utilisée pour déterminer si des comptes ont été violés. Par exemple, disons que Sarah se connecte au RPV de son entreprise à New York à 8 heures du matin, puis se connecte de nouveau au serveur RPV à 10 heures, mais depuis Paris. De toute évidence, elle n’a pas voyagé de New York à Paris en deux heures. Ainsi, le serveur RPV empêcherait cette deuxième connexion et alerterait l’équipe de cybersécurité pour qu’elle fasse enquête.     

QR: Quelque chose que vous avez

Les codes QR sont de plus en plus populaires comme méthode d’authentification et, dans certains cas, remplacent complètement le nom d’utilisateur et le mot de passe. Bien que cette méthode ne soit pas courante à l’heure actuelle, des technologies en cours d’élaboration pourraient faire en sorte que les codes QR et les appareils photo des téléphones et des ordinateurs remplacent les noms d’utilisateur et les mots de passe.    

Aperçu

  1. Tout le monde déteste les mots de passe, d’autant plus que nous devons les rendre complexes, ce qui nous empêche de nous en souvenir.
  2. Les gestionnaires de mots de passe permettent de créer des mots de passe forts pour tous les comptes.
  3. L’AMF aidera à sécuriser un compte en exigeant plus qu’un simple nom d’utilisateur et mot de passe.

Une fonction d’AMF est offerte sur plusieurs des sites Web les plus populaires, tels que Google, Facebook, Twitter, et LinkedIn. Cependant, la plupart des utilisateurs ne l’activent pas.

  1. https://evanhahn.com/2fa/
  2. https://twofactorauth.org/

En utilisant l’AMF comme mesure de sécurité supplémentaire, vous pouvez réduire les problèmes de sécurité lorsque vous vous connectez à vos comptes. Pour plus de renseignements sur la cybersécurité de Hikvision, visitez ce lien.

Cybersécurité

IMPORTANT! Ce modèle nécessite un logiciel non standard. N'installez pas de logiciel standard (par exemple, v.4.1.xx) sur ce modèle. Cela endommagerait définitivement votre système. Vous devez utiliser le logiciel personnalisé v.4.1.25 à partir de la page du produit iDS-9632NXI-I8/16S

View the most updated version of this document here:

https://techsupportca.freshdesk.com/en/support/solutions/articles/17000113531-i-series-nvr-firmware-upgrade-instructions

 

The I-series NVR (such as the DS-7716NI-I4) is one of Hikvision's most popular and feature-rich recorders. As such, many firmware revisions have been introduced over the years to continually ensure the product is compatible with the newest technology available. Due to the many revisions, we recommend that the user closely follows the instructions below in order to reduce the amount of time spent as well as the chance of failure.

 

Database Optimization and Repair

As more affordable IP cameras are introduced over time with greater video resolution and data sizes, more efficient database management also becomes necessary. The introduction of firmware v4.0 brought about a new database architecture in order to be futureproof.

 

After upgrading to v4.X, the recorder database will need to be converted and optimized. If you are experiencing issues where playback is expected but not found, make sure "Database Repair" is performed as indicated in the procedures and scenarios below.

 

Preparing the Upgrade

Before proceeding with upgrade, it is recommended that NVR configuration file is exported from the NVR over the network or on to a local USB drive.

 

Upgrading from v3.4.92 build 170518 or Older

  1. All recorders must reach v3.4.92 before proceeding further. Upgrading from versions before v3.4.92 directly to any version of v4.X will likely cause the recorder to fail.
  2. If the recorder is already at v3.4.92, a full factory default is highly recommended before upgrading to any version of v4.X. There is a high chance of unit failure (requiring RMA) if the unit is not defaulted before upgrade.
  3. After reaching v3.4.92 and performing a full factory default, an upgrade directly to v4.50.00 is acceptable.
  4. After the upgrade is completed and the recorder is reprogrammed, it may be beneficial to perform a Database Repair. For details, refer to the section "Database Optimization and Repair" above.
  5. To verify repair progress, you may refer to the HDD status, or search the recorder log for repair started and stopped entries. Note that while the HDD is repairing, new recordings are still being made, but some existing recordings may not be searchable until repair is complete.
  6. If you continue to observe playback issues after database repair, ensure there are no power, network, or motion detection issues. Should the problem persist, contact technical support.

 

Upgrading from Any v4.X Build to v4.50.00.

  1. Any v4.X build can be upgraded directly to v4.50.00.
  2. Export configuration is highly recommended before performing the upgrade.
  3. If upgrading from any v4.X version that was not v4.22.005, a Database Repair is recommended. Refer to Step 4 and onwards in the previous section.

 

Downgrading

Downgrading is not recommended. Due to new features and parameters constantly being added, downgrading may cause the NVR to factory default itself or require a manual default to operate properly.

View the most updated version of this document here:
K-Series DVR upgrade instruction
The Turbo 4 Hybrid DVR K series has multiple models and across different platform and chipset. It also has similar firmware development of other recording product line; DVR K series has also introduced the GUI4.0 to ensure the series to be compatible to the newest technology available. The new database architecture is also brought into the DVR firmware v4.0 to be future proof and for better recording search experience. 
 


Database Optimization and Repair

As more affordable cameras introduced over time with greater video resolution and data sizes, more efficient database management also becomes necessary. The introduction of firmware v4.0 brought about a new database architecture in order to be futureproof.
After upgrading to v4.X, the recorder database will need to be converted and optimize. If you are experiencing issues, where playback is expected but not found, please make sure to perform "Database Rebuild" as indicated in the procedures and scenarios below.
 


Preparing the Upgrade

Before proceeding with upgrade, it is recommend exporting DVR configuration file from the DVR over the network or on to a local USB drive.

 

Action after firmware upgraded 

1. Upgrade the DVR according to the chart above. 

2. Reconfirming Channel's Recording Schedule 

    - Confirm channel's recording schedule is enable. 

    - Check if the channel is on correct recording schedule.

3. Double Check Storage Setting

    - Make sure all channel are assigned to record on its HDD group when the Storage setting is under Group Mode. 

4. Perform Database Rebuild locally. 

    • Some version above support Database Rebuild via web access - K51 and K72

    • Perform Database Rebuild regardless if system is having any database issue symptom. 

    • Database Rebuild process is average ~30 to 60min per TB. The process may still varies depends recording data.

    • After Database Rebuild - Check log to confirm Database Rebuild has went thru properly. 

    • If Database Rebuild Started and Stopped log has been log only within few minutes. Database rebuild may not has been completed properly. It is strongly recommend performing the Database Rebuild again.

    • To check log > System > Log > Information > Database Rebuild Started and Stopped.

    • If the log option is not available - access system via SSH can also obtain similar result.

5. Recording Data is still missing after database rebuild process. 

If the data has not been recorded or has been overwritten, Database rebuild process is not able retrieve those lost data. Have the system upgraded to the latest available firmware version above to prevent any future data lost is strongly recommended for all application.

 

 

 

 

In light of the global semiconductor shortage, Hikvision has made some hardware changes to the DS-76xxNI-Q1(2)/P NVRs, also known as “Q series.”

 

These changes do not have any effect on the performance, specifications, or the user interface of the NVRs. For the ease of reference, these modified units are known as “C-Version” units. This is clearly indicated on the NVR label and on the box by the serial number.

 

The only difference between the “C-Version” and “non-C-Version” is the firmware. The firmware is not interchangeable:

 

  • The C-Version NVRs must use firmware version v4.31.102 or higher.
  • The non-C-Version (Q series) NVRs must use firmware version v4.30.085 or older.

 

Please do not be alarmed if a “Firmware Mismatch” message pops up on the screen during the firmware upgrade. This simply means that the firmware does not match the NVR’s hardware. Simply download the correct firmware and the upgrade will go through without any issue.

In light of the global semiconductor shortage, Hikvision has made some hardware changes to the Value Express Series NVRs

These changes do not have any effect on the performance and specification of the recorders. For ease of reference, these modified units are known as “C-Version” units. This is clearly indicated on the NVR label and on the box by the serial number.

The only difference between the “C-Version” and “non-C-Version” is the firmware. The firmware is not interchangeable:

  • The C-Version NVRs must use firmware version v4.30.216 or higher.
  • The non-C-Version (Q series) NVRs must use firmware version v3.4.104 or older.

Please do not be alarmed if a “Firmware Mismatch” message pops up on the screen during the firmware upgrade. This simply means that the firmware does not match the NVR’s hardware. Simply download the correct firmware and the upgrade will go through without any issue.

En téléchargeant et en utilisant des logiciels et autres matériels disponibles sur ce site, vous acceptez d'être lié par les Conditions Générales d'Utilisation de HIKVISION. Si vous n'acceptez pas ces conditions, vous ne pouvez télécharger aucun de ces documents. Si vous êtes d'accord sur votre entreprise, vous déclarez et garantissez que vous avez le pouvoir de lier votre entreprise aux Conditions Générales d'Utilisation . Vous déclarez et garantissez également que vous avez l'âge légal de la majorité dans la juridiction dans laquelle vous résidez (au moins 18 ans dans de nombreux pays).