● Numerama Cyber 📅 10/03/2026 à 08:10

Géopolitique 👤 Amine Baba Aissa

🏷️ Tags : chine cert rte surveillance

Lecture Zen Résumer l'article Un chercheur français, Sammy Azdoufal, a découvert que plus d'un million de caméras et babyphones de Meari Technology sont exposés sur internet sans protection. La faille permet d'accéder à des vidéos en temps réel et à des données personnelles, affectant des centaines de marques partenaires vendues mondialement. Malgré les alertes, Meari n'a pas encore pris publiquement des mesures correctives, bien que des interruptions de service aient été observées sur certains serveurs. Un chercheur français, Sammy Azdoufal, a découvert que plus d'un million de caméras et babyphones de Meari Technology sont exposés sur internet sans protection. La faille permet d'accéder à des vidéos en temps réel et à des données personnelles, affectant des centaines de marques partenaires vendues mondialement. Malgré les alertes, Meari n'a pas encore pris publiquement des mesures correctives, bien que des interruptions de service aient été observées sur certains serveurs. Recevez tous les soirs un résumé de l’actu importante avec Le Récap’ Un chercheur français en cybersécurité a découvert que plus d’un million de caméras et babyphones connectés étaient totalement exposés sur Internet : sans mot de passe, sans protection, accessibles à tous. Derrière cette faille béante se cache un fabricant chinois peu connu du grand public, Meari Technology, dont la technologie équipe en réalité des centaines de marques vendues partout en France et dans le monde. C’est une nouvelle trouvaille à mettre au compte de Sammy Azdoufal. Quelques semaines seulement après avoir décelé une faille majeure dans les ordinateurs DJI, le responsable de la division IA au sein du groupe Eterniti s’est penché sur la sécurité des baby monitors, ces appareils installés dans les chambres des enfants pour rassurer les parents et signaler toute activité inhabituelle. Contacté par Numerama, Sammy nous a confié que cette nouvelle enquête est née d’une demande d’une collègue, qui, inquiète après l’affaire des aspirateurs connectés, lui a demandé de vérifier l’appareil qu’elle venait d’acheter pour son enfant. « Elle ne m’a pas donné l’appareil en tant que tel. Ce que j’ai fait, c’est essayer de reproduire ce que j’avais fait avec DJI, vu que j’avais désormais une méthode pour les objets connectés. J’ai donc pris l’APK de l’application qu’elle utilisait. » Votre vie privée doit rester privée. Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles. Sponsorisé Je protège ma vie privée simplement L’APK, c’est le fichier d’installation d’une application Android. Ici une app appelée Cloud Edge, qui permet de contrôler le babyphone depuis son téléphone. Sammy la télécharge et l’analyse en profondeur. Il décortique son code, inspecte ses paramètres internes, et repère rapidement quelque chose d’inhabituel : des identifiants et des adresses de serveurs sont écrits « en dur » dans le code de l’application, visibles directement, sans effort particulier, par quiconque sait où chercher. I want to throw up https://t.co/gMHAo9Mca6 pic.twitter.com/5ANNHsEox3— Sammy Azdoufal (@n0tsa) March 7, 2026 Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Twitter. Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Twitter avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus) En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires. Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies. J’accepte tout Gérer mes choix Le protocole MQTT dans le viseur Ces serveurs exposés sont ce qu’on appelle des brokers MQTT. Pour comprendre de quoi il s’agit, imaginez un bureau de poste central : toutes les caméras du monde entier envoient en permanence leurs images et leurs données à ce bureau, et les téléphones des propriétaires viennent les y récupérer. C’est le cœur du système. Et ce bureau, chez Meari, était ouvert à tout le monde, sans la moindre protection. « Je me suis créé un compte sur Cloud Edge, avec un token utilisateur, comme je l’avais fait pour DJI, et j’ai regardé si on pouvait faire des ACL bypass (ndlr : Access Control List). Un ACL bypass, c’est quand on présume que l’entreprise ne vérifie pas le token d’un utilisateur sur un appareil. On vient alors tester, via son propre token, si on peut accéder aux appareils des autres. » Et ça ne rate pas. Sammy Azdoufal parvient à accéder d’abord au serveur chinois, puis aux serveurs européen et américain. En tout, plus d’un million d’appareils sont référencés sur son outil de veille. Lors de notre entretien, il a pu nous montrer différents flux vidéo captés depuis la France, le Brésil ou encore la Chine. Les images proviennent de babyphones, mais aussi de sonnettes vidéo et de caméras de surveillance intérieures et extérieures. Pour ne pas s’immiscer davantage dans la vie privée des gens, le chercheur a choisi de ne pas regarder les flux en direct, préférant configurer un déclenchement automatique de captures photo à chaque mouvement détecté, notamment pour les babyphones. La faille ne s’arrête d’ailleurs pas aux images. Sammy a également trouvé un accès direct aux bases de données internes de Meari, contenant des informations personnelles sur les utilisateurs : noms, adresses email, historiques de connexion. « Tout ça remonte sur le CMS interne de Meari. Ils ont directement accès à toutes ces données », précise-t-il. Capture d’écran de caméras vulnérables. // Source : Sammy Azdoufal Meari Technology : un fournisseur clé du secteur Si cette compromission est aussi vaste, c’est notamment à cause du rôle joué par Meari Technology. L’entreprise ne se contente pas de vendre ses propres produits directement au public : elle fournit sa technologie à des centaines de marques partenaires, qui l’intègrent dans leurs appareils sous leur propre nom. Une pratique courante dans le secteur des objets connectés, appelée OEM, ou fabrication sous marque blanche. Sammy Azdoufal a listé plus de 378 partenaires à travers le monde partageant le même système défaillant. S’il reste difficile d’établir des liens directs avec des produits précis, certains partenaires figurent parmi des marques très connues en France : Béaba, Leroy Merlin, Protectline ou encore Altice France. Lors de notre entretien, nous avons également pu constater que des produits Meari Technology apparaissaient systématiquement en première page des résultats Amazon lorsque nous recherchions des caméras de porte d’entrée ou des babyphones. Pour l’heure, Meari n’a pas répondu aux sollicitations de Sammy Azdoufal malgré de nombreuses relances. Numerama a également cherché à contacter l’entreprise, sans réponse pour l’instant. Il semblerait par ailleurs que l’entreprise cherche à corriger la faille discrètement : les serveurs américain et européen ont subi plusieurs interruptions depuis les premières alertes publiées sur X. Affaire à suivre. Votre VPN préféré n'est pas celui que vous croyez Quels sont les meilleurs VPN en 2026 ? Notre comparatif Retrouvez notre comparateur pour choisir le meilleur VPN Toute l'actu tech en un clin d'œil Ajoutez Numerama à votre écran d'accueil et restez connectés au futur ! Installer Numerama Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer ! Crédit photo de la une : montage Numerama Signaler une erreur dans le texte Ne plus voir cette pub Ne plus voir cette pub caméra cybersécurité enfant IoT Numerama Plus Cybercriminalité Objets connectés Tech

🔗 Lire l'article original 👁️ 1 lecture