C’est une nouvelle trouvaille à mettre au compte de Sammy Azdoufal.
Quelques semaines seulement après avoir décelé une faille majeure dans les ordinateurs DJI, le responsable de la division IA au sein du groupe Eterniti s’est penché sur la sécurité des baby monitors, ces appareils installés dans les chambres des enfants pour rassurer les parents et signaler toute activité inhabituelle.
Contacté par Numerama, Sammy nous a confié que cette nouvelle enquête est née d’une demande d’une collègue, qui, inquiète après l’affaire des aspirateurs connectés, lui a demandé de vérifier l’appareil qu’elle venait d’acheter pour son enfant.
« Elle ne m’a pas donné l’appareil en tant que tel. Ce que j’ai fait, c’est essayer de reproduire ce que j’avais fait avec DJI, vu que j’avais désormais une méthode pour les objets connectés. J’ai donc pris l’APK de l’application qu’elle utilisait. »
L’APK, c’est le fichier d’installation d’une application Android. Ici une app appelée Cloud Edge, qui permet de contrôler le babyphone depuis son téléphone. Sammy la télécharge et l’analyse en profondeur. Il décortique son code, inspecte ses paramètres internes, et repère rapidement quelque chose d’inhabituel : des identifiants et des adresses de serveurs sont écrits « en dur » dans le code de l’application, visibles directement, sans effort particulier, par quiconque sait où chercher.
Le protocole MQTT dans le viseur
Ces serveurs exposés sont ce qu’on appelle des brokers MQTT. Pour comprendre de quoi il s’agit, imaginez un bureau de poste central : toutes les caméras du monde entier envoient en permanence leurs images et leurs données à ce bureau, et les téléphones des propriétaires viennent les y récupérer. C’est le cœur du système. Et ce bureau, chez Meari, était ouvert à tout le monde, sans la moindre protection.
« Je me suis créé un compte sur Cloud Edge, avec un token utilisateur, comme je l’avais fait pour DJI, et j’ai regardé si on pouvait faire des ACL bypass (ndlr : Access Control List). Un ACL bypass, c’est quand on présume que l’entreprise ne vérifie pas le token d’un utilisateur sur un appareil. On vient alors tester, via son propre token, si on peut accéder aux appareils des autres. »
Et ça ne rate pas. Sammy Azdoufal parvient à accéder d’abord au serveur chinois, puis aux serveurs européen et américain. En tout, plus d’un million d’appareils sont référencés sur son outil de veille. Lors de notre entretien, il a pu nous montrer différents flux vidéo captés depuis la France, le Brésil ou encore la Chine. Les images proviennent de babyphones, mais aussi de sonnettes vidéo et de caméras de surveillance intérieures et extérieures.
Pour ne pas s’immiscer davantage dans la vie privée des gens, le chercheur a choisi de ne pas regarder les flux en direct, préférant configurer un déclenchement automatique de captures photo à chaque mouvement détecté, notamment pour les babyphones.
La faille ne s’arrête d’ailleurs pas aux images. Sammy a également trouvé un accès direct aux bases de données internes de Meari, contenant des informations personnelles sur les utilisateurs : noms, adresses email, historiques de connexion. « Tout ça remonte sur le CMS interne de Meari. Ils ont directement accès à toutes ces données », précise-t-il.
Meari Technology : un fournisseur clé du secteur
Si cette compromission est aussi vaste, c’est notamment à cause du rôle joué par Meari Technology. L’entreprise ne se contente pas de vendre ses propres produits directement au public : elle fournit sa technologie à des centaines de marques partenaires, qui l’intègrent dans leurs appareils sous leur propre nom. Une pratique courante dans le secteur des objets connectés, appelée OEM, ou fabrication sous marque blanche.
Sammy Azdoufal a listé plus de 378 partenaires à travers le monde partageant le même système défaillant. S’il reste difficile d’établir des liens directs avec des produits précis, certains partenaires figurent parmi des marques très connues en France : Béaba, Leroy Merlin, Protectline ou encore Altice France.
Lors de notre entretien, nous avons également pu constater que des produits Meari Technology apparaissaient systématiquement en première page des résultats Amazon lorsque nous recherchions des caméras de porte d’entrée ou des babyphones.
Pour l’heure, Meari n’a pas répondu aux sollicitations de Sammy Azdoufal malgré de nombreuses relances. Numerama a également cherché à contacter l’entreprise, sans réponse pour l’instant. Il semblerait par ailleurs que l’entreprise cherche à corriger la faille discrètement : les serveurs américain et européen ont subi plusieurs interruptions depuis les premières alertes publiées sur X. Affaire à suivre.
Les abonnés Numerama+ offrent les ressources nécessaires à la production d’une information de qualité et permettent à Numerama de rester gratuit.
Zéro publicité, fonctions avancées de lecture, articles résumés par l’I.A, contenus exclusifs et plus encore. Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !