La chambre d’enfant, le jardin de la maison ou l’arrière-cour: en Suisse, de nombreux habitants emploient des webcams connectées à internet afin d'assurer une surveillance continue de leur lieu de vie, souvent pour des raisons de sécurité.
Le problème? Ceux qui installent ces appareils sans mot de passe ou de manière hâtive ouvrent, en quelque sorte, une fenêtre sur leur vie privée au monde entier. La caméra de surveillance devient alors exactement le contraire de ce qu’elle était censée être.
Il arrive régulièrement que des chercheurs en cybersécurité découvrent des webcams non sécurisées. Cette fois, c’est l’entreprise américaine Bitsight, spécialisée en cybercrime, qui a révélé dans un billet de blog que plus de 40 000 caméras dans le monde entier diffusent des images en ligne sans aucune protection.
Les chercheurs ont identifié ces caméras grâce à des analyses systématiques en ligne. Bitsight a repéré des caméras non sécurisées dans des appartements privés, des bureaux, ainsi que dans des secteurs sensibles d’entreprises ou d’infrastructures. On trouve même des caméras non sécurisées dans des hôpitaux, filmant des patients, ou braquées sur des distributeurs automatiques de billets.
Les Etats-Unis sont de loin les plus touchés, avec 14 000 caméras concernées. Viennent ensuite, en nombre, le Japon, l’Autriche, la Tchéquie et la Corée du Sud. Interrogé, le chercheur en sécurité João Cruz indique qu’en Suisse, environ 300 caméras non sécurisées ont été recensées dans l'étude. A titre de comparaison, l’Allemagne, pourtant dix fois plus grande, n’en compte «que» 1000.
Il ne s’agit pas d’un simple risque théorique: des conversations ont été repérées sur le dark web, dans lesquelles des «acteurs malveillants» échangeaient au sujet de caméras mal sécurisées, rapporte João Cruz. Il ne faut aucune compétence technique particulière pour accéder aux images: dans la plupart des cas, un simple navigateur web et un peu de curiosité suffisent:
Mais, alors, que faire? João Cruz livre quelques conseils dans son billet de blog:
Le Préposé fédéral à la protection des données et à la transparence (PFPDT) indique, sur demande, que la problématique est bien connue. Elle réside principalement dans le fait que les utilisateurs de webcams ne choisissent pas de mots de passe suffisamment sécurisés ou ne procèdent pas aux mises à jour proposées. Le préposé recommande lui aussi de protéger au maximum l’accès aux données des webcams.
Une porte-parole du PFPDT déclare à ce sujet:
Il incombe en principe à l’exploitant de veiller à ce que la caméra soit utilisée dans le respect de la protection des données.
L’Office fédéral de la cybersécurité (OFCS) souligne en outre que le problème ne se limite pas aux caméras. Les webcams font partie de la catégorie des «objets connectés» (Internet of Things, IoT) et doivent, comme les autres appareils IoT, tels que les systèmes de gestion énergétique, aspirateurs, tondeuses, interrupteurs, téléviseurs ou frigos intelligents, être protégés en conséquence. Ces appareils disposent souvent de données d’accès par défaut.
Max Klaus, de l’OFCS, explique que:
Si ces identifiants ne sont pas rapidement modifiés lors de la mise en service des appareils IoT, il existe un risque qu’ils soient détournés à des fins malveillantes. L’OFCS a publié des mesures de protection pour les appareils IoT sur le site ncsc.admin.ch.
