Pourquoi utilisons-nous des cookies? Nous utilisons des cookies propres et des cookies tiers pour améliorer la qualité de la navigation, personnaliser les contenus, développer des statistiques, diffuser des annonces adaptées à vos préférences et faciliter votre interaction avec vos réseaux sociaux. Pour ce faire, nous traitons des données personnelles telles que, par exemple, vos données de navigation. Si vous continuez à naviguer sur notre site, vous acceptez nos cookies. Si vous souhaitez obtenir des informations supplémentaires sur notre politique de cookies ou annuler tous ou partie des cookies, cliquez ici

Un environnement numérique sûr

Les caméras de surveillance ne sont pas toujours sûres

03 juil. 2019

Surveiller à distance votre maison ou votre jardin ? Une caméra de sécurité IP peut vous y aider. Via une application sur son smartphone, on peut facilement tenir les choses à l’œil. Cependant, les tests réalisés par Test Achats ont montré que plusieurs modèles ne sont pas bien protégés contre les pirates informatiques. Avec un peu d’effort, un criminel peut prendre le contrôle des caméras, les éteindre ou planifier un cambriolage. L’association de consommateurs demande des normes de sécurité plus strictes que les fabricants doivent respecter avant que leur produit ne puisse être commercialisé.

 

De graves failles de sécurité

Les appareils connectés à Internet arrivent actuellement avec prudence sur le marché belge. En collaboration avec ses collègues du Consumentenbond aux Pays-Bas et d'Altroconsumo en Italie, Test Achats a donc testé 12 caméras de sécurité IP étanches que l’on peut fixer à l'extérieur pour garder un œil sur sa porte d'entrée, jardin ou garage.

La caméra est connectée à Internet et avertit l'utilisateur d'un mouvement au moyen d'une notification sur le smartphone, par exemple. Il peut alors se connecter à distance pour voir qui marche dans le jardin ou qui se trouve devant la porte. Les images sont également enregistrées immédiatement sur une carte SD ou dans le Cloud. C'est pratique, mais pas sans risque. Tout appareil qui est connecté, mais qui n'est pas correctement sécurisé, peut être piraté. Trois exemples du test montrent de graves failles de sécurité : l'Alecto DVC-215IP, le D-Link DCS-2670L et l’Eminent EM6360. Ces trois caméras de sécurité sont vendues en Belgique, bien que l'Alecto soit moins facile à trouver. Trois autres caméras présentaient des points d'amélioration pour la sécurité : la Foscam FI9900P, la KlikAanKlikUit IPCAM-3000 et la Ezviz Husky Air (C3W), bien que les problèmes étaient moins graves et probablement plus difficiles à exploiter par les pirates, d'après Test Achats.

 

Universal Plug and Play

Le principal problème avec les trois pires élèves du test est qu'ils ont l'option Universal Plug and Play (UPnP) activée par défaut. Il s'agit d'une technique de réseau plus ancienne pour rendre les périphériques d’un réseau domestique accessibles à partir de l’Internet public. Une caméra dont la fonction UPnP est activée par défaut permet aux pirates d'accéder à la caméra à distance.

Cela signifie que les pirates informatiques n'ont pas besoin d'être à proximité de la caméra pour exploiter le manque de sécurité et peuvent intercepter des images vidéo ou désactiver à distance l'image de la caméra sans devoir encoder les codes d’accès. La condition est que l’UPnP doit également être actif sur le routeur domestique de l'utilisateur, mais ce n'est certainement pas impensable.

De surcroît, ces caméras ont également révélé des problèmes avec le serveur web local, qui offre aux pirates informatiques la possibilité, notamment, de connaître les identifiants de login et de prendre le contrôle des comptes d’utilisateurs. Dans le cas des six caméras susmentionnées, il s'est avéré que toutes les données n'étaient pas cryptées, alors que le cryptage est justement une bonne pratique à adopter pour les appareils connectés à Internet.


Réaction dérisoire des fabricants

"Après notre test, nous avons informé les fabricants des appareils des résultats. Malheureusement, seuls deux d'entre eux, Alecto et KlikAanKlikUit, ont réagi rapidement et adéquatement et ont immédiatement pris des mesures pour améliorer la sécurité. Les autres sont restés vagues dans leur réponse et n'avaient pas l'intention immédiate de s'attaquer aux problèmes ", explique Julie Frère, porte-parole de Test Achats.  "Test Achats a déjà montré dans différents tests que les fabricants accordent trop peu d'attention à la sécurité de leurs produits numériques. C'est pourquoi nous exigeons, avec nos organisations sœurs d'autres pays et l'organisation européenne des associations de consommateurs, le BEUC, que les fabricants d'appareils "connectés" soient obligés de tenir compte de la sécurité (numérique) de leurs produits dès la phase de conception. Les fabricants ne devraient pas exiger des consommateurs qu'ils fassent toutes sortes de démarches avant que l'appareil puisse être utilisé en toute sécurité.  Les fabricants doivent produire des caméras techniquement simples qui peuvent être utilisées en toute sécurité immédiatement après leur installation. S'il y a des vulnérabilités, comme notre test l'a montré, les mises à jour du logiciel devraient être disponibles immédiatement et les utilisateurs devraient être activement invités à les installer, ou les fabricants devraient s’assurer que les caméras les installent automatiquement », ajoute-t-elle. Test Achats a informé le Ministre De Backer de ses constats.