C’est l’une des choses les plus fascinantes et flippantes dont on a entendu parler ces derniers mois. «Shodan, un moteur de recherche pour l’internet des objets, a récemment lancé une nouvelle section qui permet aux utilisateurs de découvrir des webcams vulnérables», raconte la version britannique d’Ars Technica.
Sur les quelques pages auxquelles nous avons pu avoir accès, nous avons trouvé des images de webcams en Allemagne, en Bulgarie, aux États-Unis, au Brésil ou encore aux Pays-Bas, qui sont centrées tour à tour sur un vélo dans une cour, un entrepôt, une rue vide, un parking, un rond-point, des porches, le rayon chaussures d’un magasin ou un salon vide.
Une caméra de vidéo-surveillance à Hong-Kong
Vie privée
Comme le raconte Vocativ, «les membres de Shodan qui paient un abonnement de 49 dollars par mois peuvent parcourir le flux complet sur images.shodan.io»:
«Le site offre également des abonnements gratuits qui permettent de chercher parmi des milliers de webcams. La plupart exigent un mot de passe pour accéder au flux (les utilisateurs de Shodan ont écrit quelques articles sur les mots de passe les plus utilisés pour y voir plus facilement accès), mais, malheureusement, beaucoup de gens n’installent pas de mot de passe sur leurs appareils. On peut donc facilement avoir accès à de telles caméras via Shodan, et beaucoup d’entre elles peuvent même être contrôlées par les utilisateurs du site.»
Les journalistes de Vocativ racontent également que, quelques minutes après s’être enregistrés, ils ont pu accéder à plusieurs caméras de vidéosurveillance et prendre le contrôle de certaines d’entre elles.
Ars Technica précise que «les caméras sont vulnérables parce qu’elles utilisent le Real-Time Transport Protocol pour partager des vidéos et n’ont aucun mot de passe pour vous authentifier. [...] Shodan indexe internet au hasard, en cherchant des adresses IP avec des ports ouverts. S’il en trouve qui ne demandent pas d’authentification et qui diffusent un flux vidéo, le nouveau script la saisit et passe à autre chose. Si les implications liées à la vie privée sont évidentes ici, le flux d’images de Shodan met aussi en avant l’état pitoyable de la sécurité dans le monde de l’internet des objets et soulève de nombreuses questions sur ce que nous allons faire pour régler ce problème».
Pour un spécialiste contacté par Ars Technica, si autant de caméras sont aussi facilement accessibles, c’est parce que «les consommateurs ne voient pas l’intérêt de la sécurité et de la vie privée. Ils ne sont donc pas enclins à payer pour ça. Résultat, les fabricants de webcams limitent les coûts pour maximiser les profits, souvent sur des petites marges. Beaucoup de webcams se vendent désormais pour une vingtaine d’euros».
Le site spécialisé consacre par ailleurs une large partie de son article aux possibles futures régulations dans le domaine. En attendant, les deux sites ont un seul conseil. Mettez des mots de passe pour vos objets connectés et vos webcams:
«Personne ne veut finir, sans le savoir, dans de tels résultats de recherche.»
