Plus d'un million de caméras et babyphones connectés sont actuellement exposés sur Internet, sans aucun mot de passe ni protection. N'importe qui, avec les bonnes connaissances techniques, peut accéder aux flux vidéo en temps réel et aux données personnelles des utilisateurs.
C'est ce qu'a découvert Sammy Azdoufal, chercheur français en cybersécurité. Derrière cette faille béante se cache un fabricant chinois peu connu, Meari Technology, dont la technologie équipe des centaines de marques vendues partout en France et dans le monde. Si vous avez acheté un babyphone ces dernières années, il y a une probabilité sérieuse qu'il soit concerné.
Les babyphones connectés : un succès porté par le besoin de réassurance
Les babyphones vidéo connectés se sont imposés dans des millions de foyers. L'argument commercial est séduisant : surveiller son enfant depuis son smartphone, où qu'on soit, recevoir des alertes en cas de mouvement ou de bruit inhabituel, et même parler à distance pour rassurer. Pour les jeunes parents, c'est un outil de tranquillité d'esprit.
Ces appareils se vendent entre 30 et 150 euros en moyenne. Ils portent des noms de marques variées, souvent inconnues, mais leur technologie provient fréquemment des mêmes fabricants chinois qui fournissent des dizaines d'enseignes. Meari Technology est justement l'un de ces fournisseurs invisibles, dont les composants et applications équipent une multitude de produits sous différentes étiquettes.
La faille : aucune protection réelle
Sammy Azdoufal a lancé cette investigation après qu'une collègue lui ait demandé de vérifier l'appareil qu'elle venait d'acheter pour son enfant. Plutôt que d'analyser le babyphone lui-même, le chercheur a examiné l'application mobile utilisée pour le piloter.
Le résultat est effroyable : plus d'un million de caméras et babyphones sont accessibles sans authentification sur Internet. Pas de mot de passe robuste, pas de chiffrement efficace, pas de barrière technique réelle. Les flux vidéo en direct, les enregistrements, et même certaines données personnelles des utilisateurs sont exposés.
Cette vulnérabilité touche tous les appareils utilisant la technologie Meari, soit des centaines de marques partenaires vendues mondialement. Concrètement, quelqu'un de mal intentionné pourrait surveiller votre enfant, écouter ce qui se dit dans la chambre, ou récupérer des informations sur votre foyer.
Pourquoi cette faille existe-t-elle ?
La réponse tient souvent à l'économie de ces objets connectés bon marché. Pour réduire les coûts, les fabricants utilisent des architectures cloud peu sécurisées, négligent les mises à jour de sécurité, et privilégient la facilité d'usage (connexion rapide, sans configuration complexe) au détriment de la protection réelle des données. Le consommateur n'a aucun moyen de vérifier la sécurité avant l'achat.
Mes conseils
- Privilégiez les babyphones audio simples ou les modèles vidéo locaux, qui transmettent le signal directement entre l'émetteur et le récepteur, sans passer par Internet ni par un cloud tiers.
- Si vous tenez absolument à un modèle connecté, choisissez une marque reconnue avec un historique de mises à jour de sécurité, et vérifiez que l'appareil permet une authentification forte (double authentification, par exemple).
- Ne placez jamais une caméra connectée dans un espace intime (chambre, salle de bain) sans avoir vérifié sa sécurité de manière approfondie.