Babyphones vidéo : plus d’un million de caméras exposées, vos enfants filmés à leur insu ?

Vous pensiez avoir acheté un équipement sécurisé pour veiller sur votre enfant ? Un chercheur français vient de révéler une faille massive touchant plus d’un million de caméras à travers le monde. Cette vulnérabilité CloudEdge babyphone frapperait de plein fouet des centaines de marques très populaires en France.

Publicité, votre contenu continue ci-dessous

Publicité

Le problème technique provient du fournisseur chinois Meari Technology, qui équipe de nombreux appareils distribués par Leroy Merlin, la Fnac, Cdiscount ou Amazon. Une simple erreur a permis effectivement d’accéder aux flux vidéo de milliers de foyers et la gestion de cette crise soulève de lourdes interrogations.

Une porte grande ouverte sur l’intimité familiale

Tout a commencé quand Sammy Azdoufal, expert en cybersécurité, a examiné la caméra d’une collègue. Il a rapidement constaté que le serveur central, baptisé broker MQTT, ne possédait aucune protection. “Je n’ai rien hacké ni craqué, il n’y a juste aucune protection sur les brokers”, explique Sammy Azdoufal à Clubic.

Ce serveur fait le pont entre les caméras et les smartphones des parents. En s’y connectant librement, le chercheur a découvert un tableau de bord listant tous les appareils actifs. L’exposition a duré 1041 jours pour l’Europe et les États-Unis, 542 jours pour la Chine. N’importe quel individu malveillant pouvait donc littéralement voir ce que les caméras filmaient.

L’ampleur de la fuite donne le vertige. Derrière l’infrastructure de Meari, 378 marques exploitent ce même système défaillant en marque blanche. Les Français sont directement concernés via des produits vendus sous des noms familiers comme Beaba, Protectline, Altice France ou AWOX.

Des bases de données exposées et un silence assourdissant

L’expert a aussi découvert un coffre-fort numérique contenant 32 clés d’accès aux bases de données de l’entreprise. Ces serveurs hébergent les informations personnelles des utilisateurs. “Je ne m’y suis pas connecté”, précise Sammy Azdoufal.

Publicité, votre contenu continue ci-dessous

Publicité

Face à l’urgence, le lanceur d’alerte a tenté de contacter la société et a essuyé deux semaines de silence radio, tandis que le bouton de signalement des failles sur le site officiel était hors service. Les autorités françaises, comme l’ANSSI et la DGCCRF, ont fini par être alertées de la situation.

Le 9 mars, Meari a réagi en coupant discrètement ses serveurs occidentaux. Las, le serveur chinois est resté actif, laissant 220 000 comptes vulnérables. Les serveurs européen et américain ont même été relancés peu après, laissant planer un doute sérieux sur le correctif.

Faut-il débrancher votre caméra connectée ?

Si vous possédez un appareil utilisant l’app CloudEdge, la prudence est de mise. Pour vérifier si votre équipement est concerné, vous pouvez inspecter quelques éléments simples :

• Le logo de l’app mobile (CloudEdge ou Meari)
• Les mentions légales présentes dans la notice d’utilisation
• Les paramètres réseau indiquant une connexion aux serveurs Meari

Cette affaire illustre la fragilité de l’Internet des objets grand public. Sammy Azdoufal note qu’il s’agit de la deuxième fois qu’il analyse le protocole MQTT et constate, dans les deux cas, l’absence de sécurisation par l’entreprise qui l’utilise. Selon lui, cette répétition laisse craindre un problème plus profond dans la manière dont ce protocole est déployé. Une réalité technique qui invite à privilégier les moniteurs vidéo fonctionnant en réseau local fermé pour protéger votre foyer.

Publicité, votre contenu continue ci-dessous

Publicité