Si vous possédez une caméra de surveillance de la marque Dahua, une mise à jour s'impose. Des chercheurs de la société de cybersécurité Bitdefender ont découvert deux failles critiques qui permettent à un pirate de prendre le contrôle total de l'appareil à distance, sans même avoir besoin d'un mot de passe. Pas ouf.
Un contrôle total de la caméra, sans authentification
Les deux vulnérabilités, identifiées comme CVE-2025-31700 et CVE-2025-31701, sont particulièrement graves. Elles permettent à un individu mal attentionné, sans aucune authentification, d'exécuter du code à distance sur la caméra.
En clair, un pirate qui parviendrait à atteindre la caméra sur votre réseau local (ou sur internet si elle est mal configurée) pourrait en prendre le contrôle total. Il pourrait alors espionner le flux vidéo, désactiver la surveillance, ou même utiliser la caméra comme un point d'entrée pour attaquer d'autres appareils sur votre réseau.
Des dizaines de modèles concernés
Les chercheurs de Bitdefender ont mené leurs tests sur un modèle de la série "Hero C1", mais Dahua a confirmé après sa propre enquête que de nombreuses autres gammes sont également vulnérables.
Sont par exemple concernées les séries IPC-1XXX, IPC-2XXX, IPC-WX, IPC-ECXX, mais aussi plusieurs gammes de dômes motorisés. La règle est simple : si le firmware de votre caméra est antérieur au 16 avril 2025, votre appareil est potentiellement vulnérable.
Comment se protéger ? La mise à jour est essentielle
Heureusement, il s'agit ici d'une "divulgation responsable". Bitdefender a prévenu Dahua en privé dès le mois de mars, ce qui a laissé le temps au constructeur de développer et de publier des correctifs de sécurité.
La première chose à faire est donc de vous connecter à l'interface de votre caméra et d'appliquer la dernière mise à jour de firmware disponible. Il est également fortement conseillé de ne jamais exposer une caméra de surveillance directement sur internet. L'accès à distance doit se faire via des méthodes sécurisées, comme un VPN.
On en dit quoi ?
Cette affaire est une nouvelle illustration de l'état souvent déplorable de la sécurité des objets connectés. Une faille permettant une prise de contrôle à distance sans mot de passe est ce qui peut arriver de pire, et il est inquiétant de voir que des produits aussi populaires en sont truffés.
Le seul point positif est la collaboration efficace entre les chercheurs de Bitdefender et le fabricant Dahua, qui a joué le jeu de la transparence et a fourni un correctif. Cela prouve que le système de la "divulgation responsable" fonctionne. Mais cela ne résout pas le problème de fond : la mise sur le marché de produits qui n'ont pas été suffisamment sécurisés dès leur conception. Et vous, la sécurité des caméras connectées et autres objets IoT que vous avez à la maison, c'est quelque chose qui vous préoccupe ?
Pour suivre les dernières alertes de cybersécurité, le mieux est encore de nous suivre sur notre compte Mastodon !
