Assurer la sécurité de vos enfants est l'un de vos objectifs ultimes dans la vie. C'est sûr pour moi. Mais à la fin d'une longue journée, vous voulez les mettre au lit et vous asseoir avec un bon rhume. Si vous avez un bébé, il y a de fortes chances que vous ayez également un babyphone. En entendant ces petits mouvements, ces petites toux et ces gargouillis vous font savoir que le petit est en sécurité.
Auparavant, votre babyphone était uniquement audio, utilisant une fréquence radio pour sa connexion. Mais les babyphones modernes sont en ligne, en réseau, disponibles via votre smartphone, avec des vidéos et d'autres "fonctionnalités". Un écoute-bébé compatible réseau est-il nécessaire, ou est-ce plus une menace que vous ne le pensez ?
Le son était la seule chose qu'un vieux babyphone offrait aux parents anxieux. Garder le moniteur près du berceau de bébé fournirait juste assez de rétroaction pour calmer ces peurs. Mais les babyphones évoluent avec le reste du monde technologique. Un rapide coup d'œil aux "meilleurs babyphones de 2018" me dit que la majorité des moniteurs ont désormais :
D'autres sont livrés avec un stockage en nuage (pourquoi ? !), Des berceuses intégrées, une surveillance de la température, etc. Mais vous comprenez ma dérive :un babyphone moderne s'apparente davantage à un petit centre multimédia par rapport aux versions radio-audio d'antan.
Et c'est là que le problème se pose. Étant donné que nous connectons nos interphones pour bébé à Internet et qu'il s'agit essentiellement de petits ordinateurs, ils sont susceptibles de rencontrer bon nombre des mêmes problèmes.
Au cours des trois dernières années, remontant à 2015, de nombreux produits de surveillance pour bébé ont été signalés comme vulnérables. Voici trois exemples de babyphones vulnérables.
L'appareil Mi-Cam fabriqué en Chine compte environ 50 000 utilisateurs. Mais en février 2018, la société de sécurité autrichienne SEC Consult a découvert une série de vulnérabilités dans les appareils.
Un attaquant a obtenu l'accès via un serveur proxy qui a simplement contourné le mot de passe de la caméra. Une autre vulnérabilité leur a permis d'agir comme un homme du milieu, interceptant les flux vidéo en direct entre l'appareil et le serveur cloud du fabricant.
De plus, l'équipe de recherche a déchiré l'appareil pour extraire le micrologiciel. Ils ont trouvé "des informations d'identification par défaut à quatre chiffres très faibles", selon leur blog de recherche.
En 2016, le Département de la consommation de New York a reçu plusieurs rapports faisant état de moniteurs pour bébés comme cibles de piratage. Les moniteurs étaient utilisés pour crier, rire de façon menaçante ou jouer des bruits intimidants et effrayants aux bébés.
La FTC s'est appuyée sur l'enquête des DCA de New York, en examinant cinq babyphones différents. Il a constaté qu'un seul moniteur nécessitait un mot de passe sécurisé, tandis que deux n'avaient aucun cryptage. Trois tentatives répétées de mot de passe autorisées après une saisie incorrecte, ce qui les rend vulnérables à une attaque par force brute.
Les conclusions de la FTC n'étaient pas uniques. La société de sécurité Rapid 7 a découvert des vulnérabilités similaires après avoir testé neuf moniteurs pour bébé compatibles Wi-Fi. Leurs recherches ont révélé que "chaque caméra avait un compte caché qu'un consommateur ne peut pas modifier car il est codé en dur ou difficilement accessible. Qu'il soit destiné à l'administration ou à l'assistance, il donne à un tiers un accès détourné à la caméra."
Bien qu'il ne s'agisse pas spécifiquement de moniteurs pour bébés, quelques-uns étaient accessibles via un site Web russe agissant comme un portail pour les webcams vulnérables connectées à Internet.
À son apogée, quelque 73 000 flux de webcam étaient disponibles pour les utilisateurs d'Insecam. Le site extrait les adresses IP des webcams du moteur de recherche d'appareils Internet des objets Shodan, rendant les flux accessibles à tous.
Naturellement, le site a suscité quelques inquiétudes. Le propriétaire du site a ajouté un filtrage pour s'assurer qu'"aucune des caméras d'Insecam n'envahit la vie privée de quiconque". De plus, le site supprime désormais "toute caméra privée ou contraire à l'éthique" après une plainte par e-mail.
Les moniteurs pour bébé modernes compatibles Wi-Fi sont vulnérables pour les mêmes raisons que tout le reste :une sécurité médiocre. D'autant plus si l'on considère le gouffre de vulnérabilité qu'est l'Internet des objets (IoT). Il y a une bonne raison pour laquelle les experts en sécurité se méfient incroyablement des appareils IoT. Un grand nombre n'ont pas d'options de personnalisation de la sécurité.
Cela signifie que vous n'avez aucun contrôle direct sur les mots de passe qui sécurisent vos appareils. À son tour, cela signifie que la sécurité du babyphone dépend de la sécurité de votre connexion Internet. Comme en témoigne le site Insecam, il existe des dizaines de milliers de caméras et de moniteurs pour bébé dépourvus de la protection par mot de passe la plus élémentaire, sans parler du cryptage et d'autres fonctionnalités de sécurité.
Un autre problème lié à la sécurité par défaut des appareils est la disponibilité de listes contenant des milliers de mots de passe préinstallés. Il suffit d'un instant pour vérifier les paramètres par défaut d'un appareil.
Des chercheurs de l'Université Ben Gourion, dans le Néguev, en Israël, ont découvert que non seulement les appareils vous obligent à utiliser les paramètres par défaut, mais que ces paramètres sont parfois uniformes sur plusieurs appareils. Étant donné la propension des fabricants à utiliser des codes PIN à quatre chiffres épouvantables tels que 0000 ou 1234, ce n'est pas tout à fait surprenant.
"Il est vraiment effrayant de voir avec quelle facilité un criminel, un voyeur ou un pédophile peut s'emparer de ces appareils", a déclaré le Dr Yossi Oren, maître de conférences au Laboratoire de sécurité de l'implémentation et d'attaques latérales de Ben Gourion. "En utilisant ces appareils dans notre laboratoire, nous avons pu écouter de la musique forte via un babyphone, éteindre un thermostat et allumer une caméra à distance, au grand dam de nos chercheurs qui utilisent eux-mêmes ces produits."
Le Dr Oren a également ajouté qu'"il n'a fallu que 30 minutes pour trouver les mots de passe pour la plupart des appareils et certains d'entre eux n'ont été trouvés que par une recherche Google de la marque."
Il y a plusieurs choses que vous pouvez faire pour trouver un babyphone vraiment sécurisé :
Ces trois points sont tous essentiels pour sécuriser votre babyphone. Mais de tous, le premier est le plus important. Si vous ne pouvez pas changer le mot de passe sur votre babyphone, vous ne gagnerez jamais. Et cela s'étend à tous les appareils IoT.
Si vous ne pouvez pas accéder aux paramètres de sécurité, vous ne contrôlez pas votre sécurité --- et cela seul est une pente glissante.
Crédit image :tiagoz/Depositphotos
