En mars 2026, un chercheur français en cybersécurité a ouvert une brèche dans notre confiance d’une simplicité déconcertante : il n’a pas eu à pirater quoi que ce soit. Il a juste… regardé. Et ce qu’il a trouvé derrière des millions de babyphones connectés vendus en France a de quoi glacer n’importe quel parent.
À retenir
- Un serveur sans protection a laissé des millions de flux vidéo accessibles à tous pendant des années
- 378 marques reconnues utilisent la même infrastructure vulnérable sans le savoir
- Les données personnelles des parents (noms, adresses email) étaient également exposées dans les bases de données
Un serveur grand ouvert sur la chambre de votre bébé
Tout part d’un geste banal. Le chercheur Sammy Azdoufal a constaté cette absence de protection après avoir vérifié le babyphone connecté que sa collègue avait acheté sur Amazon. Ce qu’il a découvert dépasse le simple bug de logiciel. Le système utilisé par le babyphone était totalement dépourvu de sécurité : le serveur central, appelé broker MQTT, qui sert d’intermédiaire entre les appareils et les smartphones des parents, était accessible depuis tout navigateur. Aucun mot de passe ni mécanisme de protection n’est requis pour y accéder.
Pour bien comprendre ce que ça signifie concrètement : le broker MQTT, c’est le tuyau numérique par lequel passent les images de la chambre de votre enfant avant d’arriver sur votre téléphone. Ce tuyau était, en gros, laissé ouvert au milieu d’une place publique. Ce serveur était accessible publiquement, sans authentification. En s’y connectant, il était possible de voir la liste de tous les appareils connectés et leur statut en temps réel. Le système indiquait notamment quels babyphones étaient actifs et depuis combien de temps.
Les serveurs européens et américains seraient restés exposés 1 041 jours, soit près de trois ans. Le serveur chinois aurait été accessible pendant 542 jours. Trois ans. La durée de vie entière d’un jeune enfant, filmé chaque nuit dans sa chambre, potentiellement visible par n’importe qui.
378 marques concernées, dont des noms que vous reconnaissez
Ce qui rend cette affaire particulièrement préoccupante, c’est son ampleur. La faille ne touche pas un seul fabricant obscur : elle vient de l’infrastructure de Meari Technology, un fabricant chinois basé à Hangzhou, dont les composants et le logiciel sont revendus par 378 marques sous leur propre nom. Parmi elles figurent plusieurs enseignes bien connues : Beaba, Leroy Merlin, Protectline (marque d’Orange), Altice France ou encore AWOX. Des appareils achetés dans vos grandes surfaces habituelles, avec de jolis packagings rassurants.
Plus d’un million d’appareils seraient exposés sur Internet, laissant potentiellement accessibles des flux vidéo, des données personnelles et des informations sensibles. Et le problème ne s’arrête pas aux images. Le chercheur a également mis la main sur un coffre-fort numérique avec 32 clés d’accès aux bases de données de Meari, hébergeant des serveurs MySQL, MongoDB, Redis et ActiveMQ, soit toute l’infrastructure qui stocke les données personnelles des utilisateurs. Noms, adresses mail, historiques de connexion : tout était théoriquement accessible.
La réaction de Meari face à ces signalements ? Sammy Azdoufal a tenté de prévenir l’entreprise dès ses premières découvertes, sans obtenir de réponse. Le système de signalement de faille présent sur le site de l’entreprise ne fonctionnait pas non plus. Le serveur chinois resterait quant à lui accessible, exposant environ 220 000 utilisateurs.
La CISA, l’agence fédérale de cybersécurité nord-américaine, a identifié une faille CVE-2025-11757 sur les caméras CloudEdge avec un score de gravité de 8,7 sur 10. Pour référence, un score au-dessus de 7 est classé “élevé”. 8,7, c’est la catégorie “critique”.
Le vrai problème de fond : une industrie qui bâcle la sécurité
Cette affaire n’est pas une exception. Sur les 10 babyphones vidéo testés par Test Achats, pas moins de 55 failles de sécurité potentielles ont été identifiées. Sur ces 55 vulnérabilités, 9 concernaient des problèmes dits “critiques”, permettant à une personne mal intentionnée d’accéder à des informations sensibles très facilement.
La sécurité est souvent reléguée au second plan lors du développement des produits : les fabricants privilégient la rapidité de mise sur le marché et la réduction des coûts, au détriment de la protection de la vie privée des utilisateurs. C’est le modèle économique de l’IoT à bas prix, appliqué à ce qu’on a de plus intime : la chambre d’un nouveau-né. Un rapport britannique a révélé que plusieurs modèles d’appareils connectés partageaient des données avec des tiers, des pratiques certes mentionnées dans les politiques de confidentialité, mais restant opaques pour les consommateurs.
Une fois qu’un babyphone est connecté à Internet, il devient une proie facile. La plupart des attaques ne sont pas ciblées, mais commencent par une analyse automatisée d’Internet pour découvrir les appareils vulnérables. Les pirates utilisent pour cela des moteurs de recherche accessibles au public, comme Shodan et Censys. Ces outils indexent en permanence tous les objets connectés exposés. Votre babyphone y figure peut-être en ce moment.
Ce que vous pouvez faire dès maintenant
Premier réflexe : vérifiez le nom de l’application mobile liée à votre babyphone. Si elle porte le nom CloudEdge ou Meari, l’appareil est potentiellement concerné. Vérifiez aussi si votre modèle est vendu sous l’une des 378 marques identifiées dans cette chaîne d’approvisionnement.
Ensuite, quelques gestes concrets réduisent le risque, quelle que soit la marque. Mettez régulièrement à jour le firmware de votre routeur, désactivez l’accès à distance si vous ne vous en servez pas, et créez un mot de passe WiFi solide. Modifiez systématiquement les identifiants de connexion par défaut du babyphone, et tenez ses mises à jour firmware à jour, c’est l’un des moyens les plus simples de le garder en sécurité. Les fabricants autorisent encore trop souvent les utilisateurs à utiliser des mots de passe faibles pour leurs comptes : ne leur faites pas ce cadeau.
Pour ceux qui veulent une protection maximale, la réponse est radicale. Passer à un babyphone en réseau local fermé, sans connexion au cloud, reste la seule façon de garantir que personne n’accède au flux vidéo de la chambre de votre enfant. Ces modèles, souvent analogiques ou DECT, transmettent le signal directement entre émetteur et récepteur, sans passer par un serveur situé à Hangzhou ou ailleurs. Moins de fonctionnalités, zéro exposition externe. Un arbitrage que de nombreux parents, une fois informés des risques réels, choisissent sans hésiter.
Ce que révèle finalement cette affaire va au-delà du babyphone. Elle pose une question sur l’ensemble de la maison connectée : qui, exactement, a accès à ce que voient et entendent vos appareils ? La réglementation européenne sur la cybersécurité des objets connectés, le Cyber Resilience Act, impose depuis fin 2024 de nouvelles exigences aux fabricants, avec des délais de mise en conformité courant jusqu’en 2027. D’ici là, les chambres de millions d’enfants restent dans un angle mort réglementaire que les chercheurs comme Sammy Azdoufal comblent, faute de mieux, seuls.
Sources : buzzarena.com | tretsactu.fr