Une caméra connectée à 40 euros achetée sur un site généraliste, un code par défaut du type « 0000 » ou « admin », jamais changé après l’installation. Résultat : n’importe qui connaissant ce mot de passe usine, parfois disponible en quelques secondes sur des forums spécialisés, peut se connecter au flux vidéo de votre salon, de la chambre de votre enfant ou de votre entrée. La CNIL le répète depuis plusieurs années dans ses recommandations sur la sécurité des objets connectés : le mot de passe d’usine non modifié reste l’une des failles les plus exploitées dans les foyers français, et elle presse les utilisateurs et les fabricants d’y remédier sans délai.
Le problème ne vient pas d’un piratage sophistiqué. Il vient d’une négligence banale, presque universelle. Beaucoup de caméras de surveillance domestique arrivent avec des identifiants génériques identiques pour tous les exemplaires d’une même série. Ces combinaisons circulent librement en ligne, répertoriées dans des bases de données publiques utilisées à l’origine par des chercheurs en sécurité, puis reprises par des personnes bien moins bien intentionnées. Des moteurs de recherche spécialisés comme Shodan permettent de scanner des millions d’appareils connectés à Internet et de repérer ceux qui répondent encore avec leurs paramètres d’origine. Une caméra mal configurée devient alors une adresse IP visible publiquement, un peu comme si vous aviez laissé la clé sous le paillasson tout en collant une pancarte « clé sous le paillasson » sur votre porte d’entrée.
À retenir
- Des moteurs de recherche spécialisés scannent des millions d’appareils pour repérer ceux avec leurs identifiants d’usine — en quelques heures seulement
- Les fabricants vendent la sécurité mais laissent souvent le changement de mot de passe facultatif à l’installation, reportant le risque sur l’utilisateur
- Trois minutes suffisent pour verrouiller complètement votre caméra, mais cette étape reste la plus négligée de toute installation
Le mot de passe usine, angle mort de la sécurité connectée
Les fabricants vendent la promesse d’une maison surveillée à distance, notification en temps réel, vision nocturne, détection de mouvement. Sur la fiche produit, tout respire la protection. Mais l’étape la plus déterminante pour la sécurité réelle de l’appareil, changer les identifiants par défaut lors de la première connexion, reste souvent facultative dans l’application d’installation. Certains fabricants l’imposent désormais, d’autres se contentent d’un message discret qu’il suffit d’ignorer en appuyant sur « passer cette étape ».
Cette faille ne concerne pas que les caméras premier prix. Des marques reconnues ont dû, par le passé, publier des correctifs après la découverte de vulnérabilités touchant des dizaines de milliers d’appareils déjà installés chez des particuliers. La différence se joue souvent moins sur la marque que sur l’attitude de l’utilisateur au moment du déballage. Un appareil connecté à Internet sans modification de ses réglages usine reste, en théorie, accessible depuis n’importe où dans le monde, et pas seulement depuis le réseau Wi-Fi de la maison.
Ce que demande concrètement la CNIL
Dans ses guides consacrés à la sécurité des objets connectés, la CNIL insiste sur un principe simple : un mot de passe unique, complexe, et changé dès la première utilisation. L’autorité recommande également d’activer, quand elle existe, l’authentification à deux facteurs, cette étape supplémentaire qui demande un code envoyé par SMS ou généré par une application en plus du mot de passe classique. Elle conseille aussi de vérifier régulièrement les mises à jour du micrologiciel, ce logiciel interne qui pilote la caméra et corrige les failles de sécurité découvertes après la commercialisation.
La CNIL rappelle enfin un point souvent ignoré : les fabricants ont une obligation de sécurité dès la conception, ce qu’on appelle le principe de « privacy by design » inscrit dans le Règlement général sur la protection des données. Concrètement, cela signifie qu’un appareil ne devrait jamais pouvoir fonctionner indéfiniment avec ses réglages d’usine sans qu’une alerte, ou mieux, un blocage, force l’utilisateur à personnaliser ses identifiants. Certains fabricants l’ont déjà intégré nativement à leurs applications. D’autres traînent encore, laissant peser la responsabilité entière sur l’acheteur final, souvent peu averti des risques.
Trois réflexes qui changent tout
Changer le mot de passe par défaut prend moins de deux minutes. Pourtant, cette étape reste la plus négligée de toute l’installation d’une caméra connectée. Trois gestes simples permettent de réduire drastiquement le risque : modifier immédiatement les identifiants d’usine avec un mot de passe long et unique, jamais réutilisé sur un autre service ; activer la double authentification dès qu’elle est proposée par l’application ; et vérifier, une fois par trimestre par exemple, que le micrologiciel de l’appareil est bien à jour, car les correctifs de sécurité sortent régulièrement sans que l’utilisateur en soit toujours informé.
Il faut aussi se méfier d’un réflexe trompeur : croire qu’une caméra hors ligne, jamais consultée à distance, est protégée par défaut. Beaucoup de ces appareils restent connectés au Wi-Fi domestique en permanence, prêts à transmettre le flux dès qu’une connexion est établie, même si l’utilisateur n’ouvre jamais l’application. Le danger n’est pas l’usage qu’on en fait, mais la simple présence de l’appareil sur le réseau avec des accès non sécurisés.
Un chiffre mérite d’être gardé en tête : selon plusieurs études en cybersécurité relayées par des chercheurs spécialisés dans l’analyse des objets connectés, une caméra fraîchement configurée avec ses identifiants d’usine et exposée directement sur Internet peut être scannée et testée par des robots automatisés en quelques heures seulement après sa mise en ligne. Ces scripts ne ciblent personne en particulier, ils balaient des plages entières d’adresses IP à la recherche du moindre appareil vulnérable. la menace n’attend pas qu’on l’invite. Elle passe, systématiquement, tester chaque porte, et s’arrête uniquement là où la serrure a été changée.