Un chercheur français a découvert une faille béante dans l'IoT de Meari : plus d'1,1 million de babyphones et caméras sont exposés, dont certains sont vendus sous marque par Leroy Merlin, Fnac, Cdiscount ou Amazon.
Il n'a rien craqué, rien hacké. Sammy Azdoufal a simplement trouvé une porte grande ouverte. Ce chercheur de 32 ans, à la tête de la division IA du groupe Eterniti, vient de révéler une vulnérabilité béante dans l'écosystème IoT de Meari Technology : un broker MQTT sans aucune protection, accessible depuis n'importe quel navigateur, qui donne accès en temps réel aux flux vidéo de babyphones et caméras connectées à travers le monde. Derrière, 378 marques partagent le même backend défaillant, dont plusieurs distribuées en grande surface en France. Sammy, qui avait déjà révélé une faille chez DJI, explique et dévoile à Clubic à quel point la situation est préoccupante.
Le broker MQTT de Meari était ouvert depuis 1 041 jours sans mot de passe !
Le 3 mars, Sammy Azdoufal expliquait qu'une collègue a récemment voulu lui montrer son babyphone chinois Meari Technology acheté sur Amazon. Inquiet de savoir si l'appareil était potentiellement dangereux pour elle et son bébé, Sammy a décidé d'y jeter un œil, et on peut dire qu'il a bien fait ! Le spécialiste a découvert, stupéfiant, que le système derrière ces caméras connectées est totalement ouvert : aucun mot de passe, aucune protection, rien qui empêche un inconnu d'y accéder.
Au cœur du problème se trouve ce qu'on appelle un broker MQTT. Concrètement, c'est le serveur central qui fait le lien entre les caméras et les téléphones des utilisateurs, qui transmettent en permanence des images et des données. Celui de Meari n'était protégé par absolument rien. « Je n'ai rien hacké ni craqué, il n'y a juste aucune protection sur les brokers », résume Sammy. Ce serveur grand ouvert tournait ainsi depuis, accrochez-vous bien, 542 jours pour la Chine, et 1 041 jours pour l’Europe et les États-Unis, soit près de trois ans d'exposition totale, visible de n'importe qui sur internet.
En entrant par cette porte laissée ouverte, Sammy s'est retrouvé face à un tableau de bord EMQX qui liste en temps réel tous les babyphones connectés dans le monde. On sait ainsi qui est en ligne, depuis quand, et surtout ce que filme chaque caméra. Pour le démontrer concrètement, il a développé un petit outil (CloudEdge Babyphone PoC) capable de cibler n'importe lequel de ces appareils. Vous vous demandez sans doute ce qu'un individu malveillant pourrait faire avec un tel accès ? Sammy préfère nous montrer plutôt qu'expliquer, et les images parlent d'elles-mêmes. On peut tout simplement voir ce que les caméras voient.
Derrière Beaba et Leroy Merlin, le même backend vulnérable pour 378 marques
Ce qui semblait être le problème d'une seule marque révèle en réalité une faille bien plus large. Le Chinois Meari ne vend pas seulement ses propres produits mais fournit aussi sa technologie à des centaines d'autres fabricants, qui l'intègrent dans leurs appareils sous leur propre nom. Au total, 378 marques (la liste est disponible ici) dans le monde partagent le même système défaillant, dont des enseignes que les Français connaissent très bien : Beaba, Leroy Merlin, Protectline (marque d'Orange), Altice Frane ou encore AWOX, vendues en magasin ou sur les grandes plateformes en ligne, comme Amazon.
La faille va encore plus loin que les caméras. Sammy a également découvert un accès direct (un Crendential Vault) aux bases de données de Meari, autrement dit, aux serveurs où sont stockées les informations personnelles des utilisateurs : noms, emails, historiques de connexion. Dans le détail, ce Credential Vault contient 32 entrées donnant accès aux bases de données de l'infrastructure Meari MySQL, MongoDB, Redis, ActiveMQ, un vrai trésor pour n'importe quel pirate. Sammy aurait pu s'y connecter, mais il ne l'a pas fait. « Je ne m'y suis pas connecté », nous dit-il.
Pendant ce temps, sur le site officiel de Meari, tout inspire confiance, des données chiffrées au stockage protégé, en passant par les accès sécurisés. La marque met même en avant la compatibilité de ses produits avec Google Assistant et Alexa. Des arguments qui rassurent n'importe quel parent au moment de l'achat, sans qu'il puisse imaginer qu'à l'arrière, l'intégralité de l'infrastructure était accessible sans le moindre mot de passe.
Deux semaines de silence, puis une correction discrète qui ne protège pas tout le monde
Sammy a contacté Meari dès ses premières découvertes, il y a plus de trois semaines désormais. Il a tenté l'e-mail puis le message envoyé via la messagerie WeChat, à chaque fois sans réponse. Le 7 mars, soit deux semaines plus tard, le silence est toujours total. Comble de l'ironie, le bouton « Signaler une faille » sur le site de Meari est hors service. Le spécialiste cybersécurité seblatombe a emboîté le pas en alertant publiquement Amazon, Fnac, Cdiscount, mais aussi les autorités françaises compétentes, comme l'agence française cyber (ANSSI) et la répression des fraudes (DGCCRF).
Ce lundi 9 mars, Meari a fini par réagir, mais en catimini, sans prévenir qui que ce soit. Sammy Azdoufal nous explique que la marque a coupé discrètement l'accès à ses serveurs MQTT américains et européens, probablement pour éviter des sanctions réglementaires. Mais le serveur chinois, lui, reste ouvert avec 220 000 utilisateurs qui demeurent exposés. Et le serveur européen a repris du service dans la matinée, puis le serveur américain ce midi.
Pour Sammy, l'affaire Meari n'est peut-être pas une anomalie. « C'est la deuxième fois que je m'intéresse au protocole MQTT, et la deuxième fois que l'entreprise derrière ne le sécurise pas. J'ai peur que ça soit un problème de fond. » Pour les familles qui croyaient surveiller leur bébé en toute sécurité, c'est la phrase la plus dérangeante de toute cette histoire.
