Un chercheur français, Sammy Azdoufal, a récemment mis au jour quelque chose qui devrait pousser n’importe quel parent à aller regarder derrière son babyphone connecté. Pas besoin de pirater quoi que ce soit. Pas de code obscur, pas d’attaque sophistiquée. Il a simplement trouvé une porte grande ouverte : un broker MQTT sans aucune protection, accessible depuis n’importe quel navigateur, donnant accès en temps réel aux flux vidéo de babyphones et caméras connectées à travers le monde. La chambre de votre enfant, la nuit, streamée quelque part sur Internet. Sans que vous le sachiez.
À retenir
- Un serveur accessible sans mot de passe exposait en direct les flux vidéo de babyphones du monde entier
- La faille a duré 1 041 jours en Europe et Amérique, affectant des centaines de milliers de familles
- 378 marques différentes partageaient la même infrastructure défaillante, y compris des enseignes françaises réputées
Une faille qui dure depuis presque trois ans
Le problème vient d’un broker MQTT, un serveur chargé de transmettre les données entre les caméras connectées et les applications mobiles utilisées par les parents. Dans ce cas précis, ce serveur était accessible publiquement, sans authentification. C’est l’équivalent numérique d’une caisse de banque dont on aurait oublié de fermer la porte à clé, tout en affichant le planning des rondes de sécurité dans la vitrine. Le chercheur l’a résumé lui-même sans ambages : “Je n’ai rien hacké ni craqué, il n’y a juste aucune protection sur les brokers.” En se connectant à ce serveur défaillant, il a pu consulter un tableau de bord permettant de visualiser en temps réel les babyphones et caméras actifs dans le monde.
Ce qui rend l’affaire particulièrement glaçante, c’est la durée d’exposition. Les serveurs européens et américains seraient restés exposés 1 041 jours, soit près de trois ans. Le serveur chinois aurait été accessible pendant 542 jours. Pendant tout ce temps, des milliers de familles ont placé ces appareils dans la chambre de leur nouveau-né, persuadées de surveiller leur enfant en toute sécurité. La réalité était différente.
La faille allait encore plus loin que les caméras. Sammy a également découvert un accès direct aux bases de données de Meari, où sont stockées les informations personnelles des utilisateurs : noms, emails, historiques de connexion. Un menu complet pour un attaquant, sans qu’il n’ait à forcer quoi que ce soit.
378 marques concernées, dont des enseignes bien françaises
Ce qui semblait être le problème d’une seule marque révèle en réalité une faille bien plus large. Le fabricant chinois Meari ne vend pas seulement ses propres produits, il fournit aussi sa technologie à des centaines d’autres fabricants, qui l’intègrent dans leurs appareils sous leur propre nom. Le modèle est courant dans l’industrie IoT bas de gamme : une technologie commune, rebrandée sous des dizaines d’étiquettes différentes, achetée en confiance dans des magasins connus.
Au total, 378 marques utiliseraient cette infrastructure pour leurs caméras ou leurs babyphones. Parmi elles figurent plusieurs enseignes bien connues, notamment Beaba, Leroy Merlin, Protectline (marque d’Orange), Altice France ou encore AWOX. Les appareils sont vendus dans les grandes surfaces, sur Amazon ou d’autres plateformes de commerce en ligne. Des produits que des millions de parents ont achetés de bonne foi, dans une enseigne de confiance, pour surveiller leur bébé.
La réaction de Meari, quand elle est finalement venue, n’a pas vraiment rassuré. Le bouton “Signaler une faille” sur le site de Meari était hors service. Le spécialiste cybersécurité seblatombe a emboîté le pas en alertant publiquement Amazon, Fnac, Cdiscount, mais aussi les autorités françaises compétentes, comme l’ANSSI et la DGCCRF. Ce lundi 9 mars, Meari a fini par réagir, mais en catimini, sans prévenir qui que ce soit. La marque a coupé discrètement l’accès à ses serveurs MQTT américains et européens, probablement pour éviter des sanctions réglementaires. Mais le serveur chinois, lui, est resté ouvert avec 220 000 utilisateurs qui demeuraient exposés.
Ce n’est pas un cas isolé. En février 2026, le même chercheur avait mis en évidence un problème similaire sur les aspirateurs robots connectés DJI Romo. En exploitant un serveur MQTT mal protégé, il était possible d’identifier, d’observer l’activité, voire de piloter à distance des milliers d’appareils dispersés dans plusieurs pays. Le protocole MQTT mal configuré devient un classique des failles IoT à répétition.
Ce que vous pouvez faire maintenant
La première chose à vérifier : l’application mobile associée à votre babyphone. Il suffit de regarder le logo de l’application connectée à la caméra. Si elle porte le nom CloudEdge ou Meari, l’appareil est potentiellement concerné. Des centaines de références vendues sous des noms différents partagent le même backend. Le nom de marque sur la boîte ne dit rien de la technologie sous-jacente.
Pour ceux qui veulent couper court à tout risque, la piste la plus radicale reste le babyphone sans Wi-Fi. Avec un babyphone sans Wi-Fi, l’image passe directement de la caméra à l’écran sans passer par Internet, donc pas de bug, pas d’appli, pas d’angoisse. La latence est quasi nulle, bébé est vu en temps réel. Ces appareils fonctionnent sur des signaux dédiés qui restent à l’intérieur du foyer. Ce système en boucle fermée réduit au minimum le risque d’accès non autorisé, de piratage et de menaces cybernétiques.
Pour ceux qui tiennent à conserver un babyphone connecté, quelques précautions valent la peine. Les solutions connectées envoient des données vers des serveurs exploités par des fournisseurs tiers, ce qui soulève des questions légales. Selon la CNIL, la collecte et le stockage exigent des garanties explicites pour les parents. Exiger ces garanties, lire les conditions générales sur le stockage des données, désactiver l’enregistrement cloud par défaut : des réflexes simples que l’industrie devrait imposer, mais qu’elle laisse à la discrétion de l’utilisateur. Si vous en avez la possibilité, il est recommandé d’utiliser vos objets connectés sur un réseau distinct des autres équipements informatiques de votre environnement.
L’ironie de cette affaire tient dans une phrase du chercheur lui-même : “C’est la deuxième fois que je m’intéresse au protocole MQTT, et la deuxième fois que l’entreprise derrière ne le sécurise pas. J’ai peur que ça soit un problème de fond.” Les babyphones à 30 euros achetés sur une grande plateforme partagent souvent leur infrastructure logicielle avec des dizaines d’autres appareils bas de gamme. La prochaine faille de ce type ne sera probablement pas la dernière. Ce qui change, en revanche, c’est que des chercheurs indépendants la trouveront avant que les fabricants ne se décident à fermer la porte.
Sources : jeuxvideo.com | clubic.com