Les maisons connectées sont une nouvelle catégorie à part entière d’appareils électroniques. Des bouilloires qui ont une interface Web, des fers à repasser qui s’éteignent à distance, des ampoules intelligentes équipées de systèmes de contrôle… Tout a été pensé pour que nous ayons une vie plus simple. Ces produits sont-ils sûrs ? Outre leur aspect pratique, les appareils de l’Internet des Objets (IoT) apportent de nouveaux risques en termes de sécurité et de confidentialité. D’ailleurs, chaque semaine (ou presque) un nouveau rapport annonce la découverte d’une vulnérabilité dans tel ou tel objet. Même une ampoule intelligente peut être utilisée pour pirater un réseau domestique, et peu importe ce dont ils sont capables avec du matériel plus spécialisé.
La caméra vidéo connectée à Internet est l’élément central de n’importe quel système de sécurité. On la trouve sous diverses formes : caméras de babyphones, interphones et sonnettes ou encore vidéosurveillance professionnelle avec des caméras motorisées sophistiquées.
Les caméras IP, comme leur nom l’indique, sont constamment ou périodiquement connectées à Internet, et les images sont généralement disponibles via le service spécialisé du fournisseur. En vous connectant au service, vous avez accès au flux vidéo de la caméra depuis n’importe où. En plus d’être pratique, l’autre solution, qui serait une caméra accessible seulement depuis le réseau local, n’attirerait certainement pas les clients potentiels.
Pourtant, cette situation soulève diverses questions, notamment : que se passerait-il si les escrocs obtenaient vos identifiants de connexion ? À quel point les systèmes de vidéosurveillance basés sur le Cloud sont-ils sécurisés ? Les cybercriminels peuvent-ils accéder au flux vidéo sans pirater le compte ? Après tout, dans le pire des cas, des informations sensibles, dont des images et des vidéos de votre domicile, pourraient tomber dans de mauvaises mains.
Des promesses brisées
L’entreprise Anker connaissait très bien toutes ces craintes lorsqu’elle a sorti sa propre ligne de caméras IP : la marque Eufy. Fondée en 2011, Anker n’est pas nouvelle dans le monde de l’électronique. Après avoir fabriqué des chargeurs et des accessoires pour smartphones et ordinateurs portables, l’entreprise a peu à peu développé un vaste éventail de dispositifs électroniques portables afin de satisfaire tous les besoins et tous les goûts, et propose notamment des sonnettes vidéo et des caméras de sécurité.
Dans une publicité qui apparaît sur le site d’Eufy, les développeurs de la caméra garantissent une confidentialité maximale et qu’ils n’utilisent pas le Cloud : toutes les données sont stockées dans un lieu local et sûr. La fonctionnalité de vidéosurveillance à distance peut être désactivée, mais si vous voulez voir ce qui se passe dans votre foyer, la caméra chiffre le flux vidéo et le transmet à l’application installée sur votre smartphone, seul endroit qui n’est pas chiffré. Ce principe est connu comme le chiffrement de bout en bout et signifie que personne, pas même le fournisseur, ne peut accéder aux données.
Un autre point important est que le système de reconnaissance fonctionne directement sur le dispositif. L’IA intégrée dans chaque caméra analyse les images sans rien envoyer aux serveurs de l’entreprise, identifie les personnes qui sont dans le cadre et arrive même à faire la différence entre les propriétaires, les locataires et les étrangers, pour que le propriétaire de la caméra reçoive une notification si un visage inconnu apparaît sur les images.
L’entreprise garantit… une confidentialité totale. Pourtant, les utilisateurs ont récemment eu une petite surprise : les caméras Eufy fonctionnent légèrement différemment en coulisses. Le 23 novembre, l’expert britannique en sécurité Paul Moore a publié sur Twitter une vidéo dans laquelle il accuse Eufy d’envoyer des données au Cloud, même si cette option est désactivée.
La vidéo de Moore montre le problème qu’il a détecté dans les moindres détails. Après avoir installé une sonnette vidéo Eufy, Paul s’est connecté à l’interface Web de l’appareil puis a analysé le code source dans le navigateur et a montré que la caméra envoyait une image au serveur du fournisseur à chaque fois qu’une personne apparaissait dans le champ. Cela signifie qu’au moins une des garanties d’Eufy (« pas de Cloud ») n’est pas vraie.
Moore a ensuite publié plusieurs tweets à propos de problèmes beaucoup plus graves relatifs à la protection des données. Apparemment, le chiffrement « fiable » d’Eufy utilise une clé fixe identique pour tous les utilisateurs. Pire encore, cette clé apparaît dans le code Eufy que l’entreprise a publié sur GitHub. Un peu plus tard, le site technologique The Verge a fait référence à Moore et à un autre expert en sécurité et a confirmé le pire des cas : il semblerait que n’importe quelle personne en ligne peut voir le flux vidéo simplement en se connectant à l’adresse unique du dispositif.
Des explications vagues
Il faut préciser qu’il y a une explication parfaitement logique pour le premier problème lié au téléchargement des images sur le Cloud. En théorie, les caméras Eufy fonctionnent de cette façon : vous installez la caméra chez vous et configurez l’application sur votre smartphone. Lorsque quelqu’un appuie sur le bouton « Smart Call », ou que le système de reconnaissance voit qu’une personne apparaît dans le champ, vous recevez une notification sur votre smartphone avec une photo en pièce jointe. La seule façon d’envoyer ces notifications est via le Cloud. Dans ce cas, pourquoi Eufy garantit une expérience sans Cloud ? Très bonne question !
Qu’en est-il du flux vidéo accessible à distance ? The Verge et ses sources n’ont pas révélé tous les aspects du problème parce qu’ils craignaient une exploitation massive de la vulnérabilité. Certains faits sont connus. Tout d’abord, le chiffrement promis n’est pas utilisé pour transmettre le flux vidéo. En réalité, ce flux n’est pas du tout chiffré et peut être visionné à partir d’un simple reproducteur multimédia, comme VLC. Ensuite, pour accéder à une caméra en particulier, vous devez connaître son URL unique. En d’autres termes, il s’agit de son adresse sur Internet. Ces adresses sont générées de façon prévisible : à partir du numéro de série imprimé directement sur la boîte et de la date et de l’heure actuelles. Ensuite, les développeurs ajoutent (pour plus de « sécurité ») quatre chiffres choisis au hasard. Autrement dit, l’adresse peut facilement être obtenue avec une attaque par force brute. La seule chose qui protège le propriétaire de la caméra d’un cybercriminel qui connaît le numéro de série de chaque appareil est le fait que la caméra ne télécharge pas les données en ligne en continu. La caméra doit d’abord être activée, par exemple en sonnant à la sonnette, puis l’intrus peut alors se connecter.
Anker, le fabricant d’Eufy, a été prié de confirmer ou de démentir ses accusations, mais l’entreprise s’est encore plus embrouillée. Comme The Verge et Ars Tecnica l’ont souligné, les développeurs n’ont pas nié catégoriquement la présence de problèmes de sécurité et, lorsqu’on leur a posé des questions à propos de problèmes spécifiques, ils ont publié au moins deux communiqués qui ont ensuite été désapprouvés.
Dans le premier, l’entreprise « confirmait » qu’il était impossible de regarder les images en direct d’une caméra, mais c’est exactement ce qu’a fait The Verge en utilisant deux de ses caméras Eufy. Ensuite, le fournisseur a reconnu que les images sont envoyées au smartphone puis qu’elles sont supprimées. Cette version a également été rejetée par Moore grâce à un simple test : après avoir visionné les photos de la caméra sur son compte personnel, il a sauvegardé l’URL des images puis les a supprimées de son téléphone. Même si les images n’apparaissaient plus sur son compte personnel, Moore pouvait y accéder simplement en saisissant l’URL sauvegardée dans la barre d’adresse du navigateur. Le chercheur mentionné ci-dessus est allé plus loin : après avoir complètement réinitialisé la caméra vidéo et supprimé toutes les vidéos de son compte personnel, il a à nouveau associé le dispositif à son compte et a vu… les vidéos qui avaient soi-disant été supprimées !
De façon générale, certaines normes éthiques ont évolué dans le secteur de la sécurité, et notamment la façon dont les informations relatives aux vulnérabilités sont communiquées et comment les fournisseurs devraient réagir. Ce n’est pas ce qui s’est passé avec Eufy. Au lieu d’offrir à l’entreprise l’opportunité de corriger ces problèmes, les chercheurs ont immédiatement rendu les vulnérabilités publiques. Ensuite, pour mettre de l’huile sur le feu, l’entreprise a choisi de nier les problèmes évidents. Eufy n’a fourni aucune preuve technique pour réfuter les dires des experts indépendants, alors que le seul changement que Moore a constaté après ses publications accusatrices était que les liens aux images de la caméra, auparavant montrés en texte clair dans HTML, étaient désormais cachés. Cela étant dit, l’information est encore envoyée au serveur d’Eufy ; elle est seulement plus difficile à suivre.
Ensuite, le fournisseur n’a pas respecté une autre des promesses faites sur son site, en espérant que personne ne vérifie si c’était le cas. Pourtant, cette pratique d’Eufy enfreint les promesses de l’entreprise et les lois locales relatives à la protection des données utilisateur, comme le RGPD de l’UE.
Les méthodes de protection
Le cas d’Eufy est encore récent et d’autres recherches doivent être faites pour démontrer de façon concluante qu’un intrus peut intercepter les images de la caméra IP d’un utilisateur en particulier ou choisi au hasard. Pourtant, on trouve des exemples de sécurité beaucoup plus graves. Par exemple, en 2021, les caméras IP du fabricant chinois Hikvision contenaient une vulnérabilité critique qui permettait aux cybercriminels de prendre le contrôle de l’appareil. Un correctif a été publié pour corriger le bug mais, un an plus tard, des dizaines de milliers de caméras dans le monde sont encore vulnérables et n’importe quel curieux tiers peut y accéder. Malheureusement, les propriétaires de ces appareils ne savent même pas que cette vulnérabilité existe, ce qui est encore pire.
Encore une fois nous devons faire face aux mêmes questions : qui est responsable et que faire ? Malheureusement, le secteur de l’IoT n’a pas vraiment de normes. Il n’y a aucune règle acceptée de façon générale qui garantirait un minimum de sécurité, et les fabricants protègent leurs dispositifs à partir des ressources disponibles et selon leurs connaissances en sécurité. C’est l’utilisateur qui doit décider à quel vendeur il peut faire confiance.
Comme Ars Tecnica l’a souligné, si votre dispositif a une lentille et une connexion Wi-Fi, tôt ou tard quelqu’un trouvera une faille de sécurité. Il est intéressant de noter que les dispositifs similaires en termes de design, comme les webcams des ordinateurs portables et des smartphones, sont beaucoup mieux protégés. Un indicateur s’allume lorsque la caméra est utilisée et des solutions de sécurité surveillent les applications et bloquent les accès non autorisés.
D’autre part, les caméras IP de surveillance fonctionnent de façon autonome, 24 heures sur 24 et 7 jours sur 7. Malheureusement, jusqu’à ce qu’un système d’évaluation de la sécurité des appareils accepté de façon globale apparaisse, il vous faudra croire les » garanties » que les fabricants vous offrent, tout en adoptant certaines mesures pour protéger votre vie privée. Nous conseillons aux propriétaires de systèmes de vidéosurveillance de suivre de près l’actualité relative aux problèmes de sécurité de leurs dispositifs, de vérifier minutieusement les réglages de leur caméra, de désactiver les fonctionnalités Cloud non utilisées et d’installer régulièrement les mises à jour. Enfin, lorsque vous décidez d’installer un système de vidéosurveillance chez vous, prenez en compte tous les risques puisque les conséquences d’un éventuel piratage sont importantes.