Caméras connectées : des failles de la surveillance par les pairs au renseignement militaire

Le développement des objets connectés grand public et à destination des entreprises constitue depuis de nombreuses années un sujet d’intérêt pour la CNIL, qui a très tôt produit des contenus afin d’alerter et informer sur les risques associés à des systèmes souvent mal sécurisés, qui peuvent mettre en péril les droits et l’intimité des personnes. Ces failles de sécurités se développent à mesure que se déploient des systèmes connectés, et de surveillance, mis en place par des professionnels ou par des particuliers.

Des objets aux caméras connectées

Dès 2015, la CNIL publiait un article Objets connectés : n’oubliez pas de les sécuriser ! dans lequel elle rappelait que si « les objets connectés semblent anodins et s’intègrent facilement dans la vie quotidienne […], les données qu’ils traitent ne sont pas anodines. Il faut être vigilant sur la manière de partager et de donner des accès à ces données. » L’article précise quels sont les risques et réflexes à mettre en place à l’achat et lors de l’utilisation de ces objets. En 2017, dans une nouvelle publication, la CNIL listait une série de conseils pour sécuriser les jouets connectés, qui devenaient de plus en plus populaires. Elle rappelait notamment que « les communications et les données collectées par un jouet connecté peuvent potentiellement être utilisées à des fins de ciblage publicitaire », mais aussi « détournées par un individu malveillant, par exemple à des fins d’escroquerie, d’usurpation d’identité ou de harcèlement ». La même année, la CNIL a sanctionné un fabricant de poupées connectées mal sécurisées, sur lesquelles il était possible de se connecter, « à vingt mètres de distance » avec son smartphone, « sans avoir à s'identifier ». N’importe qui pouvait ainsi « entendre tout ce qu'enregistre le micro de la poupée : ce que disent les enfants, mais plus largement tout ce qui se raconte dans la pièce où se trouve le jouet. »

Plus récemment, en février 2026, un article de Popular Science relatait le cas d’un ingénieur informatique qui avait eu accidentellement accès aux flux vidéo en direct, aux enregistrements audios, et aux données de près de 7 000 aspirateurs connectés, répartis dans 24 pays. L’ingénieur tentait de développer une application à distance pour contrôler son propre aspirateur avec une manette de jeu vidéo. C’est en cherchant à comprendre comment il communiquait à des serveurs distants qu’il avait eu accès à cette faille de sécurité (corrigée depuis).

De nombreuses failles de ce type, relevant le plus souvent d’un défaut de modification du mot de passe, ont été médiatisées, et constatées – qu’il s’agisse de jouets comme ici, d’aspirateurs, ou de babyphone vidéo, par exemple. Le recours accru à ces objets s’inscrit plus largement dans le développement de la surveillance par les pairs, que le LINC a documenté dans plusieurs articles : Tous surveillants, tous surveillés (2022) ou La fin de l̶’̶h̶i̶s̶t̶o̶i̶r̶e̶ la surveillance ? (2024), ainsi que lors de l’événement éthique air2024 « La Surveillance dans tous ses états ». Depuis, la plupart des fabricants forcent à la réinitialisation des mots de passe dès la première utilisation.

Dans ces articles, mais aussi dans les plaintes reçues à la CNIL, nous constatons que les caméras de surveillance sont entrées dans les foyers à la suite des objets connectés : « La vidéosurveillance sur le lieu de travail reste l’un des sujets pour lequel la CNIL reçoit de nombreuses plaintes chaque année, facilitée par la baisse des coûts d’acquisition du matériel et des services et parfois la méconnaissance du cadre légal applicable. ». Ces mêmes caméras sont de plus en plus régulièrement installées par des particuliers pour filmer les abords de leur logement, au travers de caméras de vidéosurveillance classiques ou de sonnettes connectées, à l’image de Ring, le produit commercialisé par Amazon.

Depuis les caméras de vidéosurveillances mises en place par les entreprises et les particuliers, jusqu’aux objets connectés (frigos, aspirateurs, lunettes, etc.), les angles morts se sont donc réduits, à mesure que se sont développés les « trous de serrures » par lesquels surveiller sans être vu.

Piratage des caméras : une pratique « presque ordinaire » dans les conflits contemporains

Les services de renseignement de différents pays ont su tirer profit de cette évolution. Ainsi, depuis quelques années, des caméras de surveillance connectées ont pu être « piratées » à des fins de surveillance militaire sur les terrains de conflit en Ukraine, en Israël et en Iran, notamment. Les caméras concernées sont celles qui transmettent leurs images via Internet (et une adresse IP) plutôt que les caméras en circuit fermé de type CCTV (closed-circuit television), utilisées traditionnellement pour la vidéosurveillance. 

Plusieurs cas emblématiques ont en particulier été recensés sur les terrains de conflits. Par exemple en Ukraine, dès 2024, la Russie a piraté des caméras de surveillance pour observer les infrastructures de défense aérienne et, selon le renseignement ukrainien, « collecter des données en vue de préparer et d’ajuster leurs frappes ». En Iran, les services israéliens auraient de même préparé leur offensive en utilisant des caméras de circulation piratées – auxquelles ils avaient accès depuis plusieurs années. Ces images auraient permis d’observer en temps réel les déplacements de l’entourage du guide suprême iranien, l’ayatollah Ali Khamenei, et d’aider à planifier la frappe aérienne qui l’a tué. En Israël, une étude publiée mercredi 4 mars par la société de cybersécurité Check Point, basée à Tel-Aviv, affirme avoir détecté des centaines de tentatives de piratage visant des caméras de surveillance grand public en Israël et plus largement au Moyen-Orient (Qatar, Bahreïn, Koweït, Émirats arabes unis, Liban) et même Chypre, à des dates qui coïncident avec les frappes iraniennes.

Par rapport aux moyens plus classiques de renseignement (ie. les satellites et les drones qui captent des images aériennes), ces caméras urbaines apportent une richesse inédite de contenus. Elles captent en effet des détails au niveau du sol, avec des vues plus horizontales – par exemple les entrées de bâtiments, une rue, un carrefour, les mouvements de véhicules ou encore la présence de gardes ou d’équipements militaires.

Des failles de sécurité simples, facilitant le piratage

Les attaques ne nécessitent pas de moyens complexes pour être effectives. La méthode la plus courante consiste à exploiter les failles intégrées aux logiciels d'exploitation, ou simplement à se connecter à l'aide des mots de passe fournis par défaut avec l'appareil à sa sortie d'usine (le même type de faille qui permettait de se connecter aux jouets et babyphones connectés cités plus haut). Le rapport de Check Point indique que les connexions à des caméras attribuées à l’Iran visaient spécifiquement certaines vulnérabilités sur deux fabricants de caméras (Hikvision et Dahua).

Ces attaques sont facilitées par le fait que de nombreuses caméras installées dans les espaces publics et les petites entreprises souffrent de ce que les experts appellent la « négligence numérique ». Les utilisateurs omettent, quand ils n’y sont pas forcés, de modifier le mot de passe administrateur défini en usine, négligent les mises à jour logicielles ou configurent l'appareil de telle sorte que toute personne connaissant son adresse IP puisse facilement accéder à la page de connexion.

La connexion à des caméras à distance est ancienne : le site web Shodan, créé en 2009, est un moteur de recherche d'objets connectés à Internet, et ayant donc une adresse IP visible sur le réseau, dont les caméras.

Le développement de la vidéosurveillance privée et les usages domestiques représentent un risque

La CNIL observe depuis quelques années un fort développement de l’usage de caméras de surveillance installées dans des commerces, pour surveiller des bâtiments, et à l’initiative des particuliers. Ces dispositifs sont souvent les mêmes que ceux qui ont été attaqués.

Aussi, d’un point de vue macro, à l’échelle nationale, le risque d’attaque des réseaux de vidéosurveillance connectés à Internet en France est similaire à celui observé dans d’autres pays dès lors que les caméras installées par des particuliers et des entreprises sont connectées et mal sécurisés.

Par ailleurs, d’un point de vue micro, à l’échelle des droits individuels, ces mêmes failles de sécurités peuvent aussi être exploitées par des personnes malveillantes, qui pourraient avoir accès à des images et à des discussions personnelles, voire intimes, à l’image de ce que la CNIL a déjà pu mettre en lumière.

L’évolution de ces technologies est du reste susceptible d’engendrer d’autres types de risques pour la vie privée. Aux Etats-Unis, le spot publicitaire pour une nouvelle fonctionnalité des caméras Ring a suscité des controverses, puis le retrait du projet. La société souhaitait offrir à ses clients un système de « reconnaissance de chiens » perdus, « Search Party », dans lequel les spectateurs ont tout de suite vu les prémisses d’un système de reconnaissance faciale.

Les exemples qui s’accumulent concernant ces usages détournés et les risques induits pour la vie privée doivent collectivement nous alerter pour en limiter les usages, a minima pour prendre au sérieux leur sécurisation.