Les babyphones connectés CloudEdge sont vendus partout en France. Leroy Merlin, la Fnac, Cdiscount, Amazon, ces caméras se retrouvent dans des milliers de chambres d’enfants. Sauf que voilà, un chercheur français a découvert que le serveur central qui relie ces appareils aux smartphones des parents n’a aucune protection.
On parle de 1,1 million de caméras exposées dans le monde. La faille touche l’infrastructure de Meari Technology, un fabricant chinois basé à Hangzhou. Cette entreprise produit les composants et le logiciel que 378 marques revendent ensuite sous leur propre nom. On retrouve des enseignes comme Beaba, Protectline, Altice France, AWOX, ieGeek, COOAU, ANRAN ou encore Cococam.
Une faille grave sur plus d’un million de babyphones vidéo
My coworker told me about her weird Chinese baby monitor bought on Amazon, asking me if it's safe for her and her baby to use. Well, nope. (Meari Technology, the brand behind it, just got an email from me. Let's see if they answer.) pic.twitter.com/nfKAOUEmS5
— Sammy Azdoufal (@n0tsa) March 3, 2026
Sammy Azdoufal a 32 ans et dirige la division IA du groupe Eterniti. Le chercheur en cybersécurité a examiné la caméra d’une collègue et a trouvé la porte grande ouverte. « Je n’ai rien hacké ni craqué, il n’y a juste aucune protection sur les brokers », résume Sammy Azdoufal. Le serveur en question est un broker MQTT qui fait le relais entre la caméra et l’application mobile.
Le chercheur s’est connecté et a découvert un tableau de bord EMQX qui liste tous les appareils actifs dans le monde, en direct. On parle de l’identité de chaque caméra, de son statut en ligne et surtout de son flux vidéo en direct.
Un pirate peut visionner ce que capte n’importe quel babyphone sans la moindre compétence technique. Le serveur européen et le serveur nord-américain étaient ouverts depuis 1 041 jours, soit près de trois ans. Le serveur chinois était accessible depuis 542 jours.
Sauf que voilà, la faille ne s’arrête pas là. Sammy Azdoufal a aussi mis la main sur un coffre-fort numérique avec 32 clés d’accès aux bases de données de Meari. On parle de serveurs MySQL, MongoDB, Redis et ActiveMQ, soit toute l’infrastructure qui héberge les données personnelles des utilisateurs. Le chercheur explique ne pas s’être connecté.
Mais un pirate mal intentionné aurait pu récupérer les noms, les adresses mail et les historiques de connexion de la totalité des utilisateurs. C’est le même type de négligence qui a permisla fuite de 184 millions d’identifiants sur un serveur cloud mal configuré quelques semaines auparavant.
Laréaction de Meari pose autant de questions que la faille elle-même. Sammy Azdoufal a tenté de joindre l’entreprise pendant deux semaines sans aucune réponse. Le bouton de signalement des failles sur le site officiel de Meari était hors service. Le chercheur a fini par alerter l’ANSSI et la DGCCRF.
Le 9 mars, Meari a coupé discrètement ses serveurs occidentaux. Le serveur chinois est resté actif avec 220 000 comptes toujours exposés. Et puis les serveurs européen et nord-américain ont été relancés quelques heures plus tard. Le correctif ressemble donc à un coup de com au lieu d’une vraie réparation.
Des failles en pagaille sur nos appareils connectés
Rappelons que Sammy Azdoufal n’en est pas à son premier fait d’armes. Le chercheur a déjà trouvé une faille similaire dans les robots aspirateurs DJI Romo en février 2026. Le protocole MQTT a permis d’accéder aux caméras, aux microphones et aux plans des maisons de 7 000 appareils répartis dans 24 pays. DJI avait réagi vite puis corrigé la faille via deux mises à jour automatiques. Meari, en revanche, fait le strict minimum.
Sammy Azdoufal résume la situation de façon claire : « C’est la deuxième fois que je m’intéresse au protocole MQTT et la deuxième fois que l’entreprise derrière ne le sécurise pas. J’ai peur que ce soit un problème de fond. » Et pour cause, la CISA, l’agence fédérale de cybersécurité nord-américaine, a déjà identifié une faille CVE-2025-11757 sur les caméras CloudEdge avec un score de gravité de 8,7 sur 10. Meari n’avait jamais répondu non plus.
Bref, cette affaire montre un problème partout dans le secteur des objets connectés. Les fabricants à bas prix se concentrent sur la production et ignorent la sécurité de leurs serveurs. Les failles qui permettent d’espionner les véhicules via les capteurs de pression des pneus posent le même problème.
Le piratage, un danger de plus en plus important
Les institutions françaises ne sont pas épargnées non plus puisque la ville de Paris a vu les données personnelles de ses administrés exposées la semaine dernière. Les fuites de données sont un problème récurrent en France, même chez les grandes entreprises.
Pour les parents qui ont un appareil CloudEdge, la vérification est simple. Il suffit de regarder le logo de l’application mobile connectée à la caméra. Si elle porte le nom CloudEdge ou Meari, l’appareil est potentiellement concerné. La recommandation la plus sûre ? Passez à un babyphone en réseau local fermé, sans connexion au cloud. C’est la seule façon de garantir que personne n’accède au flux vidéo de la chambre de votre enfant.
- Un chercheur français a découvert que le serveur central des babyphones connectés CloudEdge était sans protection, avec jusqu’à 1,1 million de caméras exposées dans le monde.
- Il a aussi trouvé un coffre-fort numérique avec 32 clés d’accès aux bases de données de Meari, ce qui pouvait ouvrir l’accès aux données personnelles des utilisateurs.
- Meari a tardé à répondre, l’ANSSI et la DGCCRF ont été alertées, et le serveur chinois est resté accessible avec 220 000 comptes exposés.
Source : Clubic
Réagissez à cet article !