TP-Link Kasa EC71 : les caméras ont exposé la géolocalisation domestique via UDP non authentifié pendant six ans

Cybersécurité à l'instant0Ajouter aux favoris

TP-Link Kasa EC71 : les caméras ont exposé la géolocalisation domestique via UDP non authentifié pendant six ans
Illustration : Momiji Shirogane

Un chercheur indépendant publie l'analyse d'une caméra Kasa qui, depuis 2019, répondait à des requêtes UDP non signées et divulguait les coordonnées GPS du domicile. Une classe de bug qui devrait avoir disparu.

Faits

Un dépôt GitHub public (BadChemical/IoT-Vulnerability-Research-Public), relayé sur Hacker News, documente une vulnérabilité affectant la caméra TP-Link Kasa EC71, une caméra Wi-Fi intérieure grand public.

Le comportement documenté :

  • La caméra écoute sur un port UDP local sans authentification
  • Une requête forgée (packet UDP crafted) déclenche une réponse contenant des coordonnées GPS stockées dans la caméra (probablement issues de l'app mobile lors de l'association initiale - le rapport ne détaille pas précisément la source de ces coordonnées, mais l'ordre de grandeur de précision et le contexte pointent vers cette origine)
  • Aucune limite de source : si le paquet UDP peut atteindre la caméra (réseau local, ou réseau externe si l'appareil est exposé), l'information sort

Impact : géolocalisation du domicile de tout utilisateur de la caméra concernée, exploitable sur le LAN a minima, exploitable via Internet si le port est ouvert (mauvaise configuration NAT, UPnP agressif, réseaux invités mal segmentés).

Durée d'exposition : selon le rapport, la fonction est présente depuis le firmware initial, soit environ six ans.

Analyse

Ce type de bug relève de la catégorie CWE-306 (Missing Authentication for Critical Function) - un classique dans l'IoT grand public, mais qui, en 2026, n'a plus d'excuse. Deux erreurs de conception se cumulent :

  1. Écouter en clair sur UDP local est acceptable pour du service discovery (mDNS, SSDP), pas pour renvoyer une donnée sensible.
  2. Stocker une géolocalisation précise dans le firmware d'un objet connecté sans besoin fonctionnel évident (une caméra sait qu'elle est chez vous, pas besoin des coordonnées GPS) est un défaut de conception au sens RGPD : minimisation des données non respectée.

Le rapport ne donne pas de CVE assignée à ce jour dans les extraits publics - à surveiller sur les advisories TP-Link et sur NVD. Le vendeur a peut-être été notifié ; l'état du patch n'est pas confirmé au moment où nous écrivons.

Qui est impacté

  • Propriétaires de caméras TP-Link Kasa EC71, potentiellement d'autres modèles Kasa partageant le même firmware base (à confirmer par le chercheur)
  • Attaquant sur le même réseau Wi-Fi (invité mal isolé, hôtel, coloc, immeuble avec Wi-Fi partagé) : exploitation triviale
  • Attaquant Internet : uniquement si le port UDP concerné est joignable depuis l'extérieur (mauvaise config NAT/UPnP)

En pratique, la personne la plus exposée est celle qui utilise sa caméra chez elle et partage son Wi-Fi (coloc, Airbnb, bureau partagé). Le scénario abusif : un invité récupère les coordonnées GPS depuis son téléphone en tapant quelques paquets UDP.

Que faire (À faire maintenant)

Encadré action immédiate :

  1. Vérifier le modèle de vos caméras Kasa : Kasa EC71 ou variantes du même firmware. Le badge modèle est au dos ou sous la caméra.
  2. Mettre à jour le firmware via l'app Kasa Smart : Menu → Device Settings → Firmware Update. Si un patch existe (à vérifier chez TP-Link), l'appliquer.
  3. Segmenter le réseau IoT : sur un routeur moderne (OpenWrt, UniFi, Firewalla, MikroTik), créer un VLAN dédié IoT sans accès au VLAN principal. Vos objets connectés n'ont pas besoin de parler à votre laptop.
  4. Vérifier qu'aucun port UDP n'est ouvert vers l'Internet : sur votre box, désactiver l'UPnP tant qu'aucun besoin explicite. Contrôler la table NAT.
  5. Décision plus radicale : remplacer par une caméra qui documente son modèle de menace (Reolink, Ubiquiti UniFi Protect, ou une solution auto-hébergée type Frigate + caméra IP RTSP).

Sources et suivi

Le rapport initial est public :

  • BadChemical/IoT-Vulnerability-Research-Public sur GitHub
  • Discussion Hacker News : à consulter pour les échanges techniques et les retours de TP-Link

Nous surveillerons l'apparition d'une CVE et d'un firmware correctif. Si la vulnérabilité est confirmée sans patch disponible, la recommandation la plus prudente reste débrancher la caméra ou l'isoler sur un VLAN sans route sortante.

À retenir : quand un objet connecté écoute sur UDP sans authentification, il est probablement en défaut. Ce cas précis n'est pas le pire des scénarios (pas de RCE, pas de flux vidéo exposé), mais la géolocalisation d'un domicile n'est pas une donnée à traiter à la légère.

Ressources — à tester

Article produit par intelligence artificielle, relu sous contrôle éditorial humain.

Notre rédaction
Cet article vous a-t-il été utile ?

5 personnes ont aimé cet article

J'aime
K
Kenji AraiExpert cybersécurité
Expert cybersécurité, veilleur méthodique, jamais alarmiste, toujours actionnable.
Partager :
Commentaires (0)

Connectez-vous pour rejoindre la discussion.

Soyez le premier à commenter.

LIVERadio Geek Kitsune
Clique pour écouter, le même son pour tout le monde
0··
// Programme
// toutes les stations
// partager un titre →
Rubriques
Explorer
Informations