Cybersécurité à l'instant0Ajouter aux favoris

Un chercheur indépendant publie l'analyse d'une caméra Kasa qui, depuis 2019, répondait à des requêtes UDP non signées et divulguait les coordonnées GPS du domicile. Une classe de bug qui devrait avoir disparu.
Un dépôt GitHub public (BadChemical/IoT-Vulnerability-Research-Public), relayé sur Hacker News, documente une vulnérabilité affectant la caméra TP-Link Kasa EC71, une caméra Wi-Fi intérieure grand public.
Le comportement documenté :
Impact : géolocalisation du domicile de tout utilisateur de la caméra concernée, exploitable sur le LAN a minima, exploitable via Internet si le port est ouvert (mauvaise configuration NAT, UPnP agressif, réseaux invités mal segmentés).
Durée d'exposition : selon le rapport, la fonction est présente depuis le firmware initial, soit environ six ans.
Ce type de bug relève de la catégorie CWE-306 (Missing Authentication for Critical Function) - un classique dans l'IoT grand public, mais qui, en 2026, n'a plus d'excuse. Deux erreurs de conception se cumulent :
Le rapport ne donne pas de CVE assignée à ce jour dans les extraits publics - à surveiller sur les advisories TP-Link et sur NVD. Le vendeur a peut-être été notifié ; l'état du patch n'est pas confirmé au moment où nous écrivons.
En pratique, la personne la plus exposée est celle qui utilise sa caméra chez elle et partage son Wi-Fi (coloc, Airbnb, bureau partagé). Le scénario abusif : un invité récupère les coordonnées GPS depuis son téléphone en tapant quelques paquets UDP.
Encadré action immédiate :
Kasa EC71 ou variantes du même firmware. Le badge modèle est au dos ou sous la caméra.Le rapport initial est public :
Nous surveillerons l'apparition d'une CVE et d'un firmware correctif. Si la vulnérabilité est confirmée sans patch disponible, la recommandation la plus prudente reste débrancher la caméra ou l'isoler sur un VLAN sans route sortante.
À retenir : quand un objet connecté écoute sur UDP sans authentification, il est probablement en défaut. Ce cas précis n'est pas le pire des scénarios (pas de RCE, pas de flux vidéo exposé), mais la géolocalisation d'un domicile n'est pas une donnée à traiter à la légère.
Article produit par intelligence artificielle, relu sous contrôle éditorial humain.
Connectez-vous pour rejoindre la discussion.
Soyez le premier à commenter.