Fiche pratique CNPD/CASES

Webcams et objets connectés: risques et précautions

fiche-pratique-click

En novembre 2014, des milliers d’accès à des webcams privées ou publiques ont été divulgués par des pirates. En cause leurs fonctionnalités de contrôle à distance, qui n’étaient pas correctement protégées.

Les images ont été diffusées en temps réel sur un site internet contenant des liens actifs vers de multiples webcams, moniteurs bébés et caméras de surveillance. Les images montraient des salons privés, des chambres pour enfants, des cours intérieures privées, des salles de gymnastique, les intérieurs de magasins, etc.

Ce cas récent n’est pas unique. En 2013, des articles de presse ont relaté le cas d’une personne qui a piraté le réseau Wi-Fi d’une famille aux Etats-Unis et qui a pris le contrôle de la caméra bébé installée dans la chambre du nourrisson.  À travers cette « baby cam », l’inconnu a parlé au bébé à voix haute en lui adressant des insultes. Les parents étaient choqués.

La problématique ne se limite toutefois pas seulement aux webcams. N’importe quel objet connecté à l’Internet est potentiellement piratable. Ceci est inquiétant si on considère que le marché de l'Internet des objets est en pleine expansion.

L’internet des objets désigne une infrastructure dans laquelle des milliards de puces sont intégrées dans des objets quotidiens qui ont été conçus pour enregistrer, traiter, conserver et transférer des données et interagir avec d’autres objets ou systèmes par un réseau. Il s’agit de téléviseurs, d’électroménager, de vêtements, de voitures, de machines à laver, de réfrigérateurs et d’autres accessoires intelligents.

Il est estimé que le monde compte déjà 15 milliards de « choses » connectées à l'Internet contre 4 milliards en 2010. Et selon les projections, ce chiffre devrait passer à 80 milliards en 2020.

Quels sont les risques ?

Les personnes qui ne sécurisent pas leurs objets connectés de manière adéquate, risquent que des tiers mal intentionnés y accèdent. Pour les caméras de surveillance par exemple, un « cybercriminel » aurait un contrôle total du système. Il ne pourra alors pas seulement visionner les images, mais également, dans le pire des cas, désactiver le système lorsque personne n’est présent, pour cambrioler une maison.

Ces objets connectés  peuvent chacun avoir une adresse IP sur Internet et peuvent être trouvés en utilisant des moteurs de recherche spéciaux. Une fois qu’une webcam ait été détectée, celui qui veut en prendre le contrôle, pourrait y parvenir en connaissant l’identifiant et le mot de passe.

C’est ici que se situe  une des principales faiblesses des objets connectés, surtout si le mot de passe par défaut, qui était généralement « 1111 » ou bien « 0000 », n’a pas été modifié.

En testant ces 2 combinaisons (ou encore quelques autres, très répandues), un pirate peut facilement accéder à une webcam pour espionner le propriétaire à longueur de journée (le micro combiné à la webcam peut également permettre au pirate d’écouter). Pour éviter ce risque, la première démarche est de modifier les paramètres d’usines et d’introduire un mot de passe solide pour accéder à une webcam, imprimante ou autre objet connecté.

Des journalistes de Rue 89 ont réalisé un petit reportage sur la façon dont ils ont réussi à visionner les images de caméras de surveillance. Ils ont immédiatement contacté leurs propriétaires pour les prévenir que leur caméra était ouverte à tous les curieux.

La faiblesse du mot de passe n’est pas le seul moyen d’accéder aux webcams et autres objets connectés. Ces objets peuvent être piratés de plusieurs façons différentes : par un logiciel malveillant qui permet de prendre le contrôle d’un ordinateur, par une intrusion sur le réseau personnel (notamment via le Wi-Fi) ou par l’exploitation d’une faille de sécurité.

Hewlett-Packard a réalisé une étude sur la sécurité de ces produits dont les conclusions sont pour le moins troublantes : 70% des objets évalués présentaient de nombreuses vulnérabilités qui pourraient être exploitées par des pirates.

Comment protéger ma webcam ou mes objets connectés ?

Quand on parle de webcams, il faut distinguer 3 types de matériel :

  1. La webcam autonome (utilisée le plus souvent à des fins de surveillance domestique)
  2. La webcam intégrée à un ordinateur portable ou connectée par USB
  3. La caméra intégrée à un smartphone ou bien à une tablette

Dans le 1er cas, vous devrez accéder à votre caméra par internet pour pouvoir observer ce qui se passe chez vous. Il convient dès lors de protéger cet accès en modifiant les paramètres d’usine pour l’administration à distance. Le mot de passe doit être de qualité et comprendre un grand nombre de caractères.

Le réseau Wi-Fi auquel la caméra est connectée, doit être correctement protégé :

  • par un mot de passe solide (https://www.cases.lu/fr/mot-de-passe.html);
  • en activant le chiffrement de la connexion sans fil (WPA2);
  • en protégeant l’accès aux paramètres du routeur par un mot de passe solide;
  • en désactivant le Wi-Fi lorsqu’il n’est pas nécessaire;
  • en modifiant le nom (SSID) du point d’accès Wi-Fi de manière à ce qu’il ne donne aucune indication sur son propriétaire;
  • en rendant le point d’accès Wi-Fi invisible : un point d’accès qui n’est pas visible est moins susceptible d’être attaqué… Mais cela ne constitue pas une protection contre les pirates professionnels qui parviennent facilement à détecter des réseaux « invisibles »;
  • en désactivant la possibilité de l’accès à la caméra depuis l’Internet.

Activer le chiffrement de la connexion sans fil (WPA2)

Pour plus de sécurité, il est opportun d’installer un VPN (Virtual Private Network) sur votre routeur, afin d’éviter toute interception des données de connexion.

Dans le 2ème cas, la caméra est directement pilotée par le PC et ne peut pas être activée si le PC est éteint. Les problèmes peuvent survenir si un malware s’est introduit sur le PC. Il existe des logiciels malveillants qui arrivent à prendre le contrôle d’une caméra, sans votre autorisation. Le voyant rouge peut même être désactivé.

Il faut donc veiller à utiliser un antivirus à jour pour éviter de se faire infecter par des logiciels malveillants, qui pourraient transformer une webcam en « œil de Moscou ».

Si elle n’est pas utilisée couramment, la caméra intégrée peut être désactivée :

  1. Ouvrez le panneau de configuration Windows.
  2. Ouvrez le Gestionnaire de périphériques et cliquez sur "Imaging Devices".
  3. Maintenant, sélectionnez la webcam dans la liste des périphériques et désactivez-là en cliquant sur "Désactiver".

Si vous êtes vraiment méfiants, vous pouvez aussi obstruer votre webcam en y collant un sparadrap ou bien tout autre film opaque.

Dans tous les cas, soyez vigilants aux messages d’alerte que votre ordinateur peut vous envoyer lorsque vous utilisez des services ou des programmes qui veulent activer votre webcam.

Dans le 3e cas concernant les caméras embarquées sur les tablettes et smartphones, ce sont les applications qu’il convient de surveiller. Peuvent-elles activer la caméra ? A quel moment et selon quelles conditions ? Est-ce justifié ? Si les réponses à ces questions ne sont pas satisfaisantes, il ne faut pas installer l’application…

Les caméras embarquées peuvent également être activées par des applications de sécurité qui permettent par exemple de tracer un ordinateur, une tablette ou un smartphone volé. Ces applications permettent de localiser le matériel volé par son adresse IP et/ou sa position GPS. Elles peuvent également prendre des photos du voleur lorsqu’il tente d’utiliser le matériel. Ces applications ont parfois des fonctions de surveillance très étendues… qui ne sont pas toujours conformes aux réglementations sur le respect de la vie privée et la protection des données personnelles. Donc, mieux vaut se renseigner avant de transformer ses appareils mobiles en espions !

Comment savoir si j'ai été piraté ou si ma webcam est accessible à tous le monde sur internet ?

Savoir si on a été piraté peut s’avérer très complexe, surtout si le pirate prend des précautions pour éviter de se faire repérer.

Dans le cadre de l’usage de webcams, vous pouvez toutefois porter attention aux indices suivants qui pourraient indiquer un potentiel piratage :

  1. La lumière de la caméra s’allume alors que vous n’êtes pas en train de l’utiliser ;
  2. Vous disposez d’une caméra avec un moteur de mouvement et celui-ci s’active tout seul ;
  3. Le logiciel de sécurité installé sur votre terminal vous signifie des alertes ou tentatives d’intrusion.
Que faire si j'ai été piraté ?

Si vous êtes victime d’un piratage informatique, il peut être utile de suivre, dans un premier temps, les recommandations suivantes :

  1. Relever les indices / éléments du piratage : faire des copies d’écrans, prendre des photos, faire une copie des éléments à disposition sur une clé USB ;
  2. Appliquer les bonnes pratiques de protection citées dans la section précédente ;
  3. Si votre PC a été infecté par un logiciel malveillant, le moyen le plus sûr de s’assurer de la suppression de tout élément malicieux est de réinstaller votre système d’exploitation (ex : Windows) à neuf ;
  4. Porter plainte à la police (plus d’informations ci-dessous).

Dans un deuxième temps, vous pouvez vous adresser aux instances responsables. En ce qui concerne les caméras de surveillance, votre interlocuteur change en fonction des cas de figures suivants :

  • Les caméras utilisées dans un cadre personnel

La loi sur la protection des données exclut expressément de son champ d’application les traitements de données à caractère personnel lorsqu’ils sont « mis en oeuvre par une personne physique dans le cadre exclusif de ses activités personnelles ou domestiques ». Tel est le cas p.ex. pour les moniteurs-bébé, caméras de surveillance opérées par des particuliers dont les champs de vision sont limités à leur seule propriété, etc.

Ces caméras échappent au contrôle et à la compétence d’autorisation de la CNPD. Toutefois, l’intrusion ou la tentative d’accès non-autorisé à des objets disposant d’une caméra/micro d’un particulier peuvent constituer une infraction pénale en vertu de l’article 509-1 du Code pénal dans le chef de son auteur. La CNPD recommande aux personnes qui sont victimes d’une telle intrusion de porter plainte auprès de la police.

Attention : Si la caméra de surveillance installée par une personne sur sa maison familiale est dirigée vers la voie publique, la loi sur la protection des données est applicable. Une vidéosurveillance qui s’étend à l’espace public et qui, de ce fait, est dirigée en dehors de la sphère privée de la personne traitant les données ne peut pas être considérée comme « une activité exclusivement personnelle ou domestique ».

  • La vidéosurveillance sur le lieu du travail

Les seules caméras soumises à autorisation de la CNPD sont celles qui sont utilisées sur le lieu du travail. Les autres échappent au contrôle et à la compétence d’autorisation de la CNPD.

Dans de nombreux cas, cette surveillance ne concerne pas seulement les salariés, mais également de personnes non salariées qui passent dans le champ de vision des caméras. Ceci est souvent le cas pour les entreprises ouvertes au grand public et à accès libre, tels que les établissements commerciaux ou administrations par exemple.

Si une personne tierce arrive à pénétrer un tel système de vidéosurveillance, que ce soit de façon directe ou forcée, il est fort probable qu’une violation des articles 22 et 23 de la loi modifiée du 2 août 2002 par le responsable du traitement ait eu lieu pour manquement de ce dernier à ses obligations de prendre les mesures de sécurité nécessaires ou suffisantes pour sécuriser ses traitements.

A noter par ailleurs, que le fait de l’intrusion peut constituer une infraction pénale en vertu de l’article 509-1 du Code pénal dans le chef de son auteur.

Pour plus d’information sur la vidéosurveillance sur le lieu de travail, nous vous invitons à consulter la brochure « La surveillance sur le lieu de travail ».

  • La vidéosurveillance dans les lieux publics

Pour ce qui est des systèmes de vidéosurveillance des zones de sécurité opérés par la Police grand-ducale (« Visupol »), ceux-ci doivent être autorisés par voie de réglement grand-ducal et arrêté ministériel conformément à l’article 17 paragraphe (1) lettre (d) de la loi modifiée du 2 août 2002.

Le contrôle et la surveillance de ces traitements ne relève pas de la compétence de la CNPD, mais de celle d’une autorité de contrôle spécifique (prévue à l’article 17 paragraphe (2) de cette loi) qui est composée du Procureur Général d’Etat et de deux membres de la CNPD.

  • Les caméras qui ne permettent pas d’identifier des personnes

La loi ne s’applique par ailleurs pas aux équipements d’enregistrement vidéo, dont les images ne permettent pas d’identifier directement ou indirectement des personnes, étant donné que dans cette hypothèse, il n’y a pas de traitement de données à caractère personnel et une autorisation de la CNPD n’est donc pas requise (p.ex. les webcams destinées à filmer l’avancement d’un chantier, des webcams à finalité touristique, etc.).

Cet article et la fiche pratique ont été elaborés en collaboration avec CASES.

Dernière mise à jour