La société de sécurité Rapid7 a testé neuf systèmes de surveillance vidéo pour bébés connectés à Internet. Commercialisés par huit vendeurs différents entre 55 et 260 $, ils ont pour point commun d'être équipés d'un système d'exploitation basé sur Linux, en plus de partager des failles de sécurité.
Pour trois des ces dispositifs, le rapport écrit qu'une vulnérabilité critique " impacte la sécurité globale au-delà de simples faiblesses ". De manière générale, les protections présentes ne sont pas un obstacle pour un attaquant qui cherche à obtenir un accès.
Le iBaby M6 a par exemple un problème au niveau du service Web qui permet un accès à des détails de la caméra en changeant le numéro de série dans une URL. Pour le Summer Infant Baby Zoom, un attaquant peut se connecter et voir le flux vidéo sans aucun mot de passe.
Du reste, la moitié des dispositifs testés ont des identifiants de compte en dur qui permettent un accès à distance au logiciel de l'appareil. Des noms d'utilisateur et mots de passe tels que user, admin, guest ou 12345 !
Il n'est pas dit que les problèmes de sécurité identifiés ont été activement exploités. Les vendeurs concernés ont été prévenus début juillet... avant la divulgation publique d'aujourd'hui. Certains d'entre eux ont fait savoir qu'ils prendront - ou ont pris - les mesures nécessaires.
La liste des appareils vulnérables n'est pas exhaustive. Si Rapid7 fait trembler en ayant porté son attention sur des dispositifs spécialement conçus pour la surveillance de bébés, c'est aussi une critique plus large sur la sécurité parfois prise à la légère dans l'Internet des objets.