Des failles de sécurité découvertes dans des babyphones

Sur des milliers de modèles, le flux vidéo est en accès libre sur Internet à cause d’une configuration bâclée, selon des chercheurs en cybersécurité. Voici comment repérer les appareils défaillants.

Illustration. Les babyphones mal configurés diffusent leur flux vidéo en accès libre sur Internet.
Illustration. Les babyphones mal configurés diffusent leur flux vidéo en accès libre sur Internet. ARNAUD DUMONTIER

Et si vous n’étiez pas les seuls à garder un œil sur votre enfant ? Cette angoissante question est soulevée par les travaux des experts en cybersécurité de SafetyDetectives : ils ont découvert que le contenu vidéo de nombreux babyphones et caméras de surveillance était accessible en direct sur Internet à cause d’une vulgaire faille de sécurité dans la conception des appareils. Elle affecte en particulier les caméras qui sont consultables à distance via une application.

Lors de leurs investigations, notamment sur le moteur de recherche de ports ouverts Shodan, les chercheurs sont tombés sur les flux vidéo de dizaines de milliers de caméras connectées dans le monde entier, notamment en France, au Japon et aux Etats-Unis.

Capture d'écran d'une caméra accessible depuis Internet.
Capture d'écran d'une caméra accessible depuis Internet. LP/

« Beaucoup de babyphones et caméras de surveillance, toutes marques confondues, utilisent le Real-Time Streaming Protocol (RTSP) pour diffuser de la vidéo en direct, et une mauvaise configuration le rend vulnérable et peu sûr dans de nombreux cas », nous assurent les chercheurs affiliés à ce site comparateur d’antivirus.

« Le RTSP est un vrai standard dans l’industrie des caméras connectées qui doit être protégé par un mot de passe mais les fabricants n’en ont pas toujours conscience dans leur configuration d’usine », abonde Alex Balan, directeur de la recherche en sécurité chez Bitdefender Labs.

L’entrée de gamme plus concernée

« Les modèles les moins chers, autour des 30 €, sont plus exposés car les grandes marques ont, elles, leurs propres protocoles propriétaires et emploient des spécialistes pour sécuriser au maximum leurs modèles avec une solide identification », souligne l’expert.

C’est là que le bât blesse : l’absence de mot de passe par défaut sur certaines caméras, qui diffusent donc sans filtre. Pour en avoir le cœur net, il ne suffit pas de regarder sur la boîte de votre babyphone, il faut suivre plusieurs étapes de vérification, heureusement très simples.

Premier point : à moins qu’un pirate ou une personne mal intentionnée aient déjà infiltré votre réseau wi-fi à la maison, vous n’êtes pas exposé à ce risque d’intrusion si le babyphone n’est pas consultable quand vous êtes à l’extérieur.

Newsletter L'essentiel du matin
Un tour de l'actualité pour commencer la journée
Toutes les newsletters

LIRE AUSSI >Comment les pirates peuvent prendre le contrôle de votre caméra connectée

Pour ceux qui aiment regarder ce qui passe dans la chambre de leur bambin, il faut se poser deux questions : avez-vous besoin d’un mot de passe ou de vous authentifier à chaque consultation de la vidéo et avez-vous dû créer un mot de passe personnalisé lors de votre première connexion ? Si les deux réponses sont négatives, le flux vidéo RTSP du babyphone est probablement en accès libre sur Internet…

Voilà pour la théorie. Mais en fait, les cupides hackers sont plus intéressés par la perspective de transformer cet objet connecté en « botnet », afin de miner des cryptomonnaies ou mener des cyberattaques, que par celle d’observer les moindres mouvements d’un enfant qui dort.