Un simple accès à un serveur suffisait pour voir ce que filment des babyphones connectés à travers le monde. La découverte a été faite par Sammy Azdoufal, chercheur en cybersécurité. Selon lui, aucune intrusion technique n’était nécessaire. « Je n’ai rien hacké ni craqué », explique-t-il à Clubic. « Il n’y a juste aucune protection sur les brokers. »
Des flux vidéo accessibles sans mot de passe
Le problème vient d’un broker MQTT, un serveur chargé de transmettre les données entre les caméras connectées et les applications mobiles utilisées par les parents. Dans ce cas précis, ce serveur était accessible publiquement, sans authentification. En se connectant à l’interface de gestion du serveur, il était possible de voir la liste des appareils connectés et leur statut en temps réel. Le système indiquait notamment quels babyphones étaient actifs et depuis combien de temps.
Pour démontrer le problème, le chercheur a développé un petit outil capable de se connecter à ces appareils et d’afficher les images capturées par la caméra. La situation aurait duré longtemps. Les serveurs européens et américains seraient restés exposés 1.041 jours, soit près de trois ans. Le serveur chinois aurait été accessible pendant 542 jours.
La vulnérabilité ne concerne pas seulement les produits Meari. L’entreprise fournit en effet la plateforme logicielle utilisée par de nombreux fabricants d’objets connectés. Au total, 378 marques utiliseraient cette infrastructure pour leurs caméras ou leurs babyphones. Parmi elles figurent plusieurs enseignes bien connues, notamment Beaba, Leroy Merlin, Protectline (marque d’Orange), Altice France ou encore AWOX. Les appareils sont vendus dans les grandes surfaces, sur Amazon ou d’autres plateformes de commerce en ligne.
Sammy Azdoufal a tenté de prévenir Meari dès ses premières découvertes, sans obtenir de réponse. Le système de signalement de faille présent sur le site de l’entreprise ne fonctionnait pas non plus ! Après plusieurs semaines, l’entreprise a fini par intervenir. Le 9 mars, l’accès aux serveurs MQTT européens et américains a été coupé, avant d’être rétabli peu après. Le serveur chinois resterait quant à lui accessible, exposant environ 220.000 utilisateurs.
Pour le chercheur, ce problème pourrait dépasser le seul cas de Meari. « C’est la deuxième fois que je m’intéresse au protocole MQTT, et la deuxième fois que l’entreprise derrière ne le sécurise pas », explique-t-il. « J’ai peur que ce soit un problème de fond. »
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
