En mars 2026, un chercheur français tape quelques mots dans un navigateur, sans forcer aucun code, sans pirater quoi que ce soit, et se retrouve face à un tableau de bord qui lui affiche en direct les flux vidéo de berceaux à travers le monde entier. Ce n’est pas un film. C’est l’affaire Meari Technology, et elle révèle une faille d’une banalité terrifiante dans l’univers des objets connectés.
À retenir
- Un broker MQTT sans protection a exposé les flux vidéo de 1,1 million de caméras pendant 1 000 jours en Europe et aux États-Unis
- Il suffisait de taper quelques mots dans un moteur de recherche pour accéder aux chambres de bébés du monde entier
- Les bases de données personnelles des utilisateurs (noms, emails, historiques) étaient également accessibles aux pirates
Une porte grande ouverte, pas une serrure forcée
Il n’a rien craqué, rien hacké. Sammy Azdoufal a simplement trouvé une porte grande ouverte. Ce chercheur de 32 ans, directeur de la division IA du groupe Eterniti, s’est intéressé au babyphone d’une collègue acheté sur Amazon. Il a mis au jour une vulnérabilité béante dans l’écosystème IoT de Meari Technology : un broker MQTT sans aucune protection, accessible depuis n’importe quel navigateur, donnant accès en temps réel aux flux vidéo de babyphones et caméras connectées à travers le monde.
Le broker MQTT, c’est le maillon central qu’il faut comprendre ici. Au cœur du problème se trouve ce qu’on appelle un broker MQTT : concrètement, c’est le serveur central qui fait le lien entre les caméras et les téléphones des utilisateurs, transmettant en permanence des images et des données. Imaginez le concierge d’un immeuble qui reçoit tous les colis de tous les appartements, mais qui a laissé la porte de la conciergerie grande ouverte, avec tous les noms des résidents affichés. Celui de Meari n’était protégé par absolument rien. “Je n’ai rien hacké ni craqué, il n’y a juste aucune protection sur les brokers”, résume Sammy.
En entrant par cette porte laissée ouverte, Sammy s’est retrouvé face à un tableau de bord EMQX qui liste en temps réel tous les babyphones connectés dans le monde. On sait qui est en ligne, depuis quand, et surtout ce que filme chaque caméra. Des chambres de bébés. Des salons. Des espaces où les familles ne s’imaginent surveillées par personne d’autre qu’elles-mêmes.
1,1 million de caméras, trois ans d’exposition
On parle de 1,1 million de caméras exposées dans le monde. La faille touche l’infrastructure de Meari Technology, un fabricant chinois basé à Hangzhou, qui produit les composants et le logiciel que 378 marques revendent ensuite sous leur propre nom. Le chiffre qui donne réellement froid dans le dos, c’est la durée. Ce serveur grand ouvert tournait depuis 542 jours pour la Chine, et 1 041 jours pour l’Europe et les États-Unis, soit près de trois ans d’exposition totale, visible de n’importe qui sur internet.
Trois ans. Le temps que des milliers de nourrissons naissent, grandissent, fêtent leurs premiers anniversaires sous l’œil d’une caméra dont le flux était techniquement accessible à n’importe qui disposant d’un navigateur web. Parmi les marques concernées figurent plusieurs enseignes bien connues, notamment Beaba, Leroy Merlin, Protectline (marque d’Orange), Altice France ou encore AWOX. Les appareils sont vendus dans les grandes surfaces, sur Amazon ou d’autres plateformes de commerce en ligne.
La faille ne s’arrête pas aux images. Sammy a également découvert un accès direct aux bases de données de Meari, aux serveurs où sont stockées les informations personnelles des utilisateurs : noms, emails, historiques de connexion. Ce Credential Vault contient 32 entrées donnant accès aux bases de données de l’infrastructure Meari, MySQL, MongoDB, Redis, ActiveMQ. Un trésor pour n’importe quel pirate. Sammy affirme ne pas s’y être connecté. Mais quelqu’un d’autre aurait pu.
Shodan, l’autre face du problème
Cette affaire n’est pas un cas isolé. Elle est la face émergée d’un phénomène structurel. Shodan est souvent surnommé le “Google des objets connectés”. Contrairement à un moteur de recherche traditionnel, Shodan scanne le web pour trouver des dispositifs connectés à Internet, y compris les caméras de surveillance, et recense des informations précieuses telles que leur emplacement, leur marque et leur modèle, et si elles sont sécurisées ou non.
Pour localiser les appareils vulnérables, les pirates utilisent des moteurs de recherche accessibles au public, tels que Shodan et Censys. Ces moteurs analysent l’Internet des objets à la recherche de vulnérabilités. Shodan, par exemple, indexe tous les dispositifs IoT exposés publiquement, y compris les écoute-bébés, les webcams et les routeurs au moins une fois par semaine. Taper “baby monitor” ou “webcam” dans Shodan, c’est donc suffisant pour tomber sur des flux non protégés. Pas besoin d’être un expert. Pas besoin de compromettre un réseau. Un pirate peut visionner ce que capte n’importe quel babyphone sans la moindre compétence technique.
Les moniteurs Wi-Fi sont plus exposés au piratage car ils se connectent au routeur domestique et souvent aussi à l’Internet public. Ceux-ci prennent en charge des fonctionnalités permettant aux parents de visualiser le flux vidéo via une appli mobile. Cela peut offrir une tranquillité d’esprit lors de déplacements, mais ouvre également la porte aux pirates à distance qui recherchent sur Internet des caméras non sécurisées à détourner. Le confort et la sécurité, ici, tirent vraiment dans des directions opposées.
Ce qu’il faut faire maintenant
La réaction de Meari Technology résume tout ce qui ne va pas dans ce secteur. Sammy Azdoufal a tenté de joindre l’entreprise pendant deux semaines sans aucune réponse. Le bouton de signalement des failles sur le site officiel de Meari était hors service. Ce lundi 9 mars, Meari a fini par réagir, mais en catimini, sans prévenir qui que ce soit. La marque a coupé discrètement l’accès à ses serveurs MQTT américains et européens, probablement pour éviter des sanctions réglementaires. Pendant ce temps, le serveur chinois reste accessible, exposant environ 220 000 utilisateurs.
L’ANSSI et la DGCCRF ont été alertées. C’est bien. Mais entre une alerte transmise à une agence et une mise à jour effective sur votre babyphone posé dans la chambre de votre enfant, le délai peut se compter en semaines ou en mois. Pour savoir si vous êtes à risque, il faut regarder du côté de l’application mobile utilisée pour piloter votre caméra. Si vous utilisez l’application Meari, CloudEdge ou des variantes très similaires, la prudence est de mise.
Les gestes de protection sont simples. Pour sécuriser votre caméra de surveillance, utilisez des mots de passe forts et changez-les régulièrement. Activez les mises à jour automatiques pour le firmware et limitez les droits d’accès à l’application de contrôle. Installez des pare-feu ou utilisez des réseaux WiFi sécurisés pour prévenir tout accès non autorisé. Et si votre caméra repose sur une infrastructure cloud dont vous ne connaissez pas l’identité du fabricant réel, posez-vous la question avant qu’un chercheur curieux ne se la pose à votre place.
La faille Meari n’est pas la première, et le chercheur lui-même pense que ce problème pourrait dépasser le seul cas Meari : “C’est la deuxième fois que je m’intéresse au protocole MQTT, et la deuxième fois que l’entreprise derrière ne le sécurise pas. J’ai peur que ce soit un problème de fond.” La CISA, l’agence fédérale de cybersécurité nord-américaine, a d’ailleurs déjà identifié une faille CVE-2025-11757 sur les caméras CloudEdge avec un score de gravité de 8,7 sur 10, bien avant que l’affaire ne devienne publique. La prochaine caméra vendue à bas prix dans un grand magasin tourne peut-être sur la même infrastructure. Sans que personne, ni le vendeur ni l’acheteur, ne le sache vraiment.
Sources : clubic.com | jeuxvideo.com