Des Milliers de Caméras de Surveillance Marocaines Espionnées en Direct

Publié le · Par Ealison

Votre caméra de surveillance est peut-être diffusée en direct sur Internet en ce moment. Des milliers de caméras au Maroc — chez des particuliers, dans des bureaux, des crèches, des hammams — sont accessibles à n'importe qui. Et vous ne le savez probablement pas.

Un problème massif que personne ne veut voir

Lors d'un audit de sécurité IoT réalisé par l'équipe d'Ealison, nos chercheurs ont fait une découverte alarmante : en quelques heures de scan, ils ont identifié plus de 12 000 caméras de surveillance au Maroc accessibles directement depuis Internet, dont plusieurs milliers sans aucun mot de passe ou avec les identifiants par défaut du fabricant. Parmi elles : des caméras de salons et chambres à coucher de particuliers, de crèches et d'écoles, de cabinets médicaux, de boutiques et restaurants, de bureaux d'entreprises, et même de bâtiments gouvernementaux.

Ce n'est pas du piratage sophistiqué. Il suffit d'un moteur de recherche spécialisé et de connaître les mots de passe par défaut des fabricants les plus courants au Maroc — Hikvision et Dahua en tête, qui représentent plus de 80% du marché marocain des caméras de surveillance.

Comment votre caméra se retrouve sur Internet

L'erreur du mot de passe par défaut

La cause numéro 1 est le mot de passe par défaut jamais modifié. Les caméras Hikvision sont livrées avec le mot de passe « admin » ou « 12345 ». Les Dahua utilisent « admin/admin ». Les installateurs au Maroc — souvent des électriciens ou des techniciens non spécialisés en sécurité — installent les caméras, vérifient qu'elles fonctionnent, et passent au client suivant sans jamais changer les identifiants par défaut.

La redirection de port automatique (UPnP)

De nombreuses caméras activent automatiquement le protocole UPnP qui ouvre une porte dans votre routeur Internet pour permettre l'accès distant. Cette fonctionnalité, pensée pour la commodité (pouvoir voir sa caméra depuis son téléphone à l'extérieur), expose la caméra sur Internet sans que le propriétaire en soit conscient.

Les services cloud P2P vulnérables

Les applications de visualisation à distance (Hik-Connect, DMSS) utilisent des serveurs cloud intermédiaires pour faciliter l'accès. Des vulnérabilités dans ces services ont permis, à plusieurs reprises, d'accéder aux flux de caméras d'autres utilisateurs.

Les conséquences sur la vie privée

Des sites web diffusent les flux en direct

Des sites web publics agrègent et diffusent en direct les flux de caméras non protégées du monde entier, y compris des centaines de caméras marocaines. N'importe qui peut y accéder et observer en temps réel l'intérieur de maisons, de commerces et de bureaux au Maroc. Des forums et des groupes Telegram partagent également des listes de caméras marocaines accessibles, accompagnées de descriptions de ce qu'on y voit.

L'exploitation criminelle

Au-delà du voyeurisme, les caméras non sécurisées sont exploitées par des criminels pour repérer les habitudes des occupants d'une maison avant un cambriolage, espionner les activités d'une entreprise concurrente, capturer des images compromettantes pour du chantage et de la sextorsion, et surveiller les locaux d'un commerce pour préparer un vol.

Guide de sécurisation immédiate

Étape 1 : Changez le mot de passe maintenant

Connectez-vous à l'interface de votre caméra (généralement via un navigateur web en tapant l'adresse IP de la caméra sur votre réseau local). Changez immédiatement le mot de passe par un mot de passe robuste d'au moins 12 caractères. N'utilisez pas « 123456 », ni votre nom, ni votre date de naissance. Faites-le pour CHAQUE caméra de votre installation.

Étape 2 : Mettez à jour le firmware

Rendez-vous sur le site du fabricant et téléchargez la dernière version du firmware. Les mises à jour corrigent des failles de sécurité critiques exploitées par les attaquants. Si votre caméra est trop ancienne pour recevoir des mises à jour, envisagez sérieusement de la remplacer.

Étape 3 : Désactivez l'accès distant inutile

Si vous n'avez pas besoin de voir vos caméras depuis l'extérieur, désactivez l'accès distant (P2P, cloud, DDNS). Désactivez le protocole UPnP sur votre routeur Internet. Si vous avez besoin d'un accès distant, configurez-le exclusivement via un VPN sécurisé plutôt que d'exposer directement la caméra sur Internet.

Étape 4 : Isolez les caméras sur un réseau dédié

Si votre routeur le permet, créez un réseau Wi-Fi séparé pour vos caméras et objets connectés, isolé de votre réseau principal. Ainsi, même si une caméra est compromise, l'attaquant n'aura pas accès à vos ordinateurs, smartphones et autres appareils contenant vos données personnelles.

Un problème de responsabilité partagée

La responsabilité de cette situation est partagée entre les fabricants (qui livrent des appareils avec des mots de passe par défaut faibles), les installateurs (qui ne configurent pas la sécurité), les distributeurs (qui ne sensibilisent pas les acheteurs) et les utilisateurs (qui ne se préoccupent pas de la sécurité de leurs appareils). Une réglementation plus stricte sur la sécurité des objets connectés vendus au Maroc serait une avancée majeure.

Audit de sécurité IoT par Ealison

Ealison propose des audits de sécurité IoT pour les entreprises et les particuliers au Maroc. Nous vérifions si vos caméras, objets connectés et équipements réseau sont exposés sur Internet, et nous les sécurisons. Contactez-nous pour un diagnostic gratuit de votre installation de vidéosurveillance.

Questions fréquentes

Ma caméra de surveillance est-elle piratée ?

Si vous n'avez jamais changé le mot de passe par défaut de votre caméra IP (souvent admin/admin ou 12345), il y a de fortes chances qu'elle soit accessible depuis Internet. Vérifiez en vous connectant à l'interface web de votre caméra et en changeant immédiatement le mot de passe. Vérifiez aussi si l'accès distant est activé.

Comment les pirates accèdent-ils aux caméras au Maroc ?

La méthode la plus courante est simplement de tester les mots de passe par défaut des fabricants (Hikvision, Dahua, etc.) sur les caméras exposées sur Internet. Des moteurs de recherche spécialisés comme Shodan indexent automatiquement ces appareils. Aucune compétence technique avancée n'est nécessaire.

Est-ce légal de regarder les flux de caméras non protégées ?

Non. Au Maroc, accéder à un système informatique sans autorisation est un délit pénal, même si le système n'est pas protégé par un mot de passe. La diffusion d'images captées par des caméras sans le consentement des personnes filmées est également sanctionnée par la loi 09-08 et le code pénal.

Comment sécuriser ma caméra de surveillance ?

Changez immédiatement le mot de passe par défaut par un mot de passe robuste et unique. Mettez à jour le firmware de la caméra. Désactivez l'accès distant (P2P, cloud) si non nécessaire. Placez les caméras sur un réseau séparé (VLAN). Désactivez UPnP sur votre routeur. Vérifiez régulièrement les journaux d'accès.

Articles connexes

Besoin d'aide en cybersécurité ?

Nos experts Ealison vous accompagnent pour protéger votre entreprise et vos données personnelles au Maroc.

Contactez-nous Urgence Cyber

Besoin d'aide en cybersecurite ?

Nos experts sont disponibles 24/7. Premier diagnostic gratuit.

Demander de l'aide