De nos jours, de nombreux foyers avec des enfants utilisent des caméras de surveillance, souvent appelées “baby monitors”, pour garder un œil sur leurs petits pendant leur sommeil. Ces dispositifs offrent un sentiment de sécurité et permettent d’intervenir rapidement en cas de besoin. Cependant, cette tranquillité d’esprit peut rapidement se transformer en angoisse lorsque ces caméras présentent des failles de sécurité, permettant ainsi à des individus malintentionnés d’accéder aux images.
Découverte d’une vulnérabilité majeure
Ce qui s’est passé. Sammy Azdoufal, un expert en sécurité, a récemment révélé que les caméras de la marque Meari, y compris les vigilabebés, étaient gravement vulnérables. En analysant l’application mobile Android qui les accompagne, il a pu obtenir un code d’accès unique lui permettant d’accéder à plus d’un million de caméras à travers 118 pays. L’intégralité de son enquête est disponible sur son répertoire GitHub.
Connaître Meari
Qui est Meari ? Peu de gens connaissent Meari Technologies, car il s’agit d’un fabricant de marque blanche. Ces caméras sont souvent commercialisées sous différentes marques sur des plateformes comme Amazon, telles que Arenti, Anran, Boifun, Wyze, et bien d’autres. Une simple recherche sur Amazon Espagne révèle une multitude de ces produits, avec pour certains des milliers d’avis positifs. Cela soulève la question de la sécurité et de la fiabilité de ces appareils.
Des problèmes de sécurité alarmants
Sécurité inexistante. La vulnérabilité ne concerne pas un modèle spécifique, mais l’ensemble de l’architecture de sécurité. Les différentes marques partageaient des serveurs et parfois même des identifiants, rendant le système complètement non isolé. Le protocole MQTT utilisé dans la plateforme IoT EMQX manquait de protections adéquates, ce qui a permis à des personnes non autorisées de visionner en temps réel des activités dans des milliers de foyers. Pire encore, certaines caméras utilisaient encore des mots de passe par défaut tels que “admin” ou “public”, et les images de détection de mouvement étaient stockées sur des serveurs Alibaba sans protection, accessibles via une simple URL.
Révélations choquantes
Il ne s’est pas arrêté là : Azdoufal a découvert un serveur interne non protégé contenant les mots de passe de Meari et des informations personnelles sur 678 employés, y compris adresses e-mail et numéros de téléphone. Aucune hacking n’était nécessaire, juste un regard sur les failles du système.
Réactions de l’entreprise
Que fait Meari ? Ce n’est que lorsque les données de ses propres employés ont été compromises que Meari a commencé à prendre les menaces au sérieux. Ils ont finalement corrigé le principal défaut en coupant l’accès aux caméras. Dans un communiqué envoyé à des médias, l’entreprise a reconnu que « sous certaines conditions techniques, les attaquants peuvent intercepter tous les messages transmis via la plateforme IoT EMQX sans autorisation de l’utilisateur ». Cependant, elle n’a pas répondu à des questions essentielles concernant l’ampleur de la faille.
Tensions avec le chercheur
Azdoufal a finalement été payé 24 000 dollars pour avoir découvert les vulnérabilités, après plusieurs semaines de négociations où Meari a adopté une attitude menaçante, insinuant que son accès aux serveurs était illégal et qu’ils prenaient des mesures pour “protéger leurs intérêts”.
Que faire si vous possédez une caméra Meari ?
Si vous soupçonnez que votre caméra est affectée, Azdoufal recommande fortement de la débrancher dès que vous ne l’utilisez pas. Puisque le problème réside dans la cloud, il est impossible de le résoudre vous-même. En outre, certaines images pourraient encore être accessibles. Pour les résidents de l’UE, il est conseillé de déposer une plainte auprès de l’autorité de protection des données locale.
Cette situation met en lumière l’importance cruciale de la sécurité dans les technologies de surveillance domestiques et appelle à une vigilance accrue de la part des consommateurs. Avec la progression technologique, les risques de sécurité ne peuvent être sous-estimés, et il est essentiel de choisir ses appareils avec soin.