Babyphones vidéo : plus d'un million de caméras connectées sont accessibles en ligne

Babyphones vidéo : plus d'un million de caméras connectées sont accessibles en ligne
Tanguy Jaillant

Un expert en cybersécurité a découvert une faille concernant les babyphones. Selon le chercheur, plus d'un million de caméras diffusaient des images qui étaient accessibles à tous sur Internet. Un vrai danger pour la vie privée !

Pour surveiller votre bébé quand il dort ou quand il joue dans sa chambre, les parents achètent souvent un babyphone. Ces appareils de communication, qui fonctionnent grâce à un détecteur de mouvement et/ou un flux vidéo et audio, permettent aux adultes de garder un œil sur le bébé et ce, même s'ils sont dans une autre pièce.

En effet, les images captées par la caméra, qui est généralement installée dans la chambre de l'enfant, sont retransmises sur un appareil doté d'un écran (smartphone avec une application, boîtier spécifique, etc.). Malheureusement, il semblerait que le système mis en place par certains fournisseurs manque cruellement de sécurité. C'est du moins ce qu'a révélé Sammy Azdoufal, un expert en cybersécurité.

Babyphones vidéo : une grave faille de sécurité

En examinant la caméra connectée d'une collègue – qu'elle avait achetée pour surveiller son bébé –, le chercheur français de 32 ans a en effet détecté une faille dans l'écosystème IoT du fournisseur chinois Meari Technology. En effet, Sammy Azdoufal s'est rendu compte que le broker MQTT, qui est le serveur central qui échange en permanence des images et des données entre les caméras et les téléphones des utilisateurs, était complètement ouvert depuis plus de trois ans.

En d'autres termes, les images diffusées grâce aux caméras connectées pouvaient être accessibles à tous sur Internet, sans même avoir besoin de rentrer un mot de passe ou de contourner un système de sécurité. N'importe quel internaute pouvait ainsi avoir accès aux flux vidéo des babyphones concernés à travers le monde. "Je n'ai rien hacké ni craqué, il n'y a juste aucune protection sur les brokers", a ainsi assuré l'expert en cybersécurité lors d'un échange avec Clubic.

Lors de son enquête, Sammy Azdoufal s'est connecté très facilement au serveur. Il a donc pu consulter un tableau de bord sur lequel figuraient les données de l'intégralité des appareils actifs dans le monde, soit plus d'un million de babyphones. Cette vulnérabilité CloudEdge ne date pas d'hier puisque le chercheur a indiqué que l'exposition a duré 542 jours pour la Chine… et 1 041 jours pour l'Europe et les États-Unis. Plus inquiétant encore, l'entreprise Meari vend ses propres produits et fournit sa technologie à de nombreux fabricants qui vendent leurs appareils via des distributeurs tels que Leroy Merlin, la Fnac, Cdiscount ou encore Amazon. La faille concernerait donc pas moins de 378 marques, dont certaines bien connues du grand public. C'est notamment le cas de Beaba, Altice France, AWOX ou encore Protectline.

Malheureusement, le problème est encore plus profond. En effet, Sammy Azdoufal a révélé qu'il existait un accès direct au coffre-fort numérique de Meari. Plus concrètement, les serveurs qui hébergent l'intégralité des informations personnelles des utilisateurs (nom, adresse mail, numéro de téléphone, historique de connexion, etc.) étaient aussi accessibles. "Je ne m'y suis pas connecté", a précisé le chercheur.

Alors que Meari n'avait pas répondu aux alertes de Sammy Azdoufal au cours des dernières semaines, l'entreprise a, ce lundi 9 mars 2026, coupé discrètement l'accès à ses serveurs MQTT américains et européens. Une astuce qui a probablement pour objectif d'éviter des sanctions puisque le serveur chinois, qui concerne 220 000 utilisateurs, est toujours actif.