De plus en plus de nouveaux parents se procurent des moniteurs de surveillance vidéo pour garder un œil sur bébé lorsqu’il dort. Question de vérifier si tout va bien en temps réel, sans avoir à pénétrer dans la chambre sur la pointe des pieds (et risquer de réveiller l’enfant en s’enfargeant dans un satané jouet de type « sons et lumières »). L’offre pour ces gadgets a explosé au cours des cinq dernières années. On trouve maintenant toutes sortes de produits sur le marché, dont plusieurs modèles qui se connectent à internet via le réseau sans fil de la maison. Ainsi, les parents peuvent accéder au flux vidéo en direct, à partir d’une application installée sur leur téléphone mobile ou leur tablette. Pratique si vous voulez espionner la gardienne pendant que vous êtes au restaurant ou que vous habitez dans un manoir où le signal se perd dans l’immensité de votre domicile. Mais je m’égare.
J’ai un message d’intérêt public pour tout parent qui possède un tel moniteur de surveillance domestique. Pour l’amour, vérifiez que votre caméra transmet ses images de façon sécurisée. Si vous n’entrez pas de mot de passe pour vous connecter à votre application de surveillance, posez-vous de sérieuses questions. Peut-être n’êtes-vous pas les seuls à pouvoir regarder votre enfant dormir à poings fermés.
Assoyez-vous, ce que je vais vous décrire va vous donner des frissons dans le dos.
Il existe un engin de recherche qui permet de trouver des objets connectés à internet (appelé Internet of Things). Shodan est l’équivalent de Google, mais au lieu de recenser les pages web, il enregistre toutes les « machines » connectées à internet : des senseurs météorologiques, des senseurs de sécurité, des senseurs de domotique et, vous me voyez venir, des webcams. Shodan a récemment lancé une nouvelle section qui permet à ses usagers de consulter un répertoire mondial des caméras dites « vulnérables ».
Ces caméras sont vulnérables parce qu’elles partagent leur flux vidéo sur le web par un protocole commun (RTSP, port 554), mais qui n’a pas été protégé par un mot de passe. Le petit robot de Shodan se promène donc sur le web de façon aléatoire, à la recherche d’un port 554 ouvert. Une fois trouvé, s’il note que ce port diffuse de la vidéo et qu’aucune identification n’est nécessaire pour y accéder, le robot prend une capture d’écran et continue sa route.
Ne reculant devant rien, j’ai testé Shodan pour voir ce que j’y trouverais. En moins de dix minutes, je me suis créé un compte, j’ai déniché un raccourci de recherche me permettant d’accéder gratuitement au répertoire de captures d’écran et j’ai trouvé ceci.
Un lit de bébé vide en Angleterre.
Un autre lit d’enfant vide en Angleterre.
Cette famille à Hong Kong. Notez la tête du bambin de dos au premier plan. J’ai caché le visage de la femme.
Cette femme et cette enfant à Hong Kong.
Ce bébé qui dort, Theo si j’en crois le nom du flux vidéo indiqué en haut à gauche, en France.
C’EST.
UN.
CAUCHEMAR.
J’ai aussi vu de nombreuses entrées de garage (dont une à Warwick, Québec), des cours arrière, des entrepôts, des autoroutes, des gens travaillant à leur bureau et même une étable. Selon Dan Tentler, un chercheur en sécurité interviewé dans cet article, des millions de webcams vulnérables sont présentement connectées à internet et prêtes à être visitées par Shodan. « Et ce nombre continuera à augmenter. », précise l’expert.
Si on peut évidemment critiquer Shodan d’avoir créé un petit robot hacker qui transgresse clairement les limites de la vie privée, on peut aussi se demander pourquoi les fabricants de caméras peuvent mettre sur le marché des produits aussi peu sécuritaires. Depuis plusieurs années, le problème est connu et la situation ne s’améliore pas.
D’après Dan Tentler, c’est parce que « les consommateurs ne perçoivent pas la valeur de la sécurité et de la confidentialité. Ils ne sont pas prêts à payer pour ça. » Ainsi, pour offrir leurs produits à des prix compétitifs, les fabricants coupent dans tout ce qu’ils peuvent, dont la sécurité de leurs appareils. Selon cet article paru à l’automne 2015, les huit moniteurs vidéo pour bébé les plus populaires ont tous des lacunes qui les rendent vulnérables aux hackers. J’ajouterais aussi que le grand public en connaît très peu sur ce type de technologie. À défaut d’avoir un beau-frère geek pour nous conseiller, on s’en remet totalement aux fabricants.
Maintenant que des scénarios d’horreur défilent dans votre tête, que pouvez-vous faire pour éviter le pire? Si vous désirez toujours utiliser votre moniteur vidéo, assurez-vous que vous avez installé les dernières mises à jour de l’application de surveillance, changez votre mot de passe pour vous y connecter et débranchez le système lorsqu’il n’est pas utilisé. Sinon, revenez aux bons vieux moniteurs audio.
Entre le risque de réveiller le bébé en trébuchant sur ses jouets et celui d’avoir tout l’internet dans la chambre de son enfant, le choix me paraît évident.
Possédez-vous ce genre de moniteur vidéo qui se connecte à internet? Vous êtes-vous déjà posé la question si votre dispositif était sécuritaire?
– – –
Pour écrire à Marianne Prairie: chatelaine@marianneprairie.com
Pour réagir sur Twitter: @marianneprairie
