Arlo, Ring, Ezviz… ces marques de caméras WiFi sont partout dans les rayons grand public. Mais entre les promesses marketing et la réalité technique, quelle est la véritable sécurité de ces équipements ? Cet article fait le point, faits sourcés à l'appui, sur les vulnérabilités documentées et compare avec les solutions filaires professionnelles.
📋 Sommaire
Les caméras de surveillance WiFi grand public connaissent un succès massif depuis 2018. Marques comme Arlo (Netgear), Ring (Amazon), Ezviz (Hikvision) ou encore Nest (Google) sont devenues les références du marché à destination des particuliers, vendues pour quelques centaines d'euros en grande surface ou sur Amazon.
Leurs arguments commerciaux sont séduisants : installation rapide sans câblage, accès à distance via smartphone, intégration avec les assistants vocaux (Alexa, Google Home), prix attractif. Mais derrière cette simplicité apparente se cachent des vulnérabilités structurelles qui ont fait l'objet de nombreuses publications techniques, articles de presse et même actions en justice ces dernières années.
Cet article n'a pas pour objectif de dénigrer ces marques — elles ont leur place sur le marché — mais de fournir une analyse objective et factuelle de leurs limites en matière de sécurité, et de comparer avec les solutions filaires professionnelles. À chacun ensuite de faire son choix en connaissance de cause.
Les vulnérabilités techniques publiées dans les bases de données officielles (CVE — Common Vulnerabilities and Exposures) sont nombreuses et bien documentées. Voici un aperçu non exhaustif des failles répertoriées sur les principales marques :
En 2019, des chercheurs en cybersécurité de la société Tenable ont publiquement révélé deux failles majeures affectant les stations de base Arlo (modèles VMB3010, VMB4000, VMB3500, VMB4500, VMB5000). La première (CVE-2019-3949) permettait à un attaquant disposant d'un accès physique au matériel d'accéder au système avec les identifiants par défaut "ngroot/ngbase". La seconde (CVE-2019-3950) exploitait une mauvaise configuration réseau et permettait à un attaquant connecté au réseau local de prendre le contrôle complet des caméras connectées.
Sources : Tenable Security Advisory, Threatpost, ThePost.com, advisories Arlo officielles
Une autre étude de NewSky Security a démontré que les mots de passe WiFi générés en usine par les caméras Arlo suivaient un schéma prévisible de type "adjectif+nom+3 chiffres" (par exemple "mistylake940" ou "unevensparrow969"), rendant possible le crack par force brute en quelques heures avec du matériel grand public. Pire, après une réinitialisation usine, le mot de passe revenait à "12345678".
Source : NewSky Security blog, avril 2018
Fin 2019, plusieurs familles américaines ont été victimes de piratages massifs de leurs caméras Ring. Dans le Mississippi, un inconnu a pris le contrôle d'une caméra installée dans la chambre d'enfants et a parlé directement à une fillette de 8 ans, prétendant être le Père Noël et l'incitant à casser ses affaires. En Floride, une famille a entendu un hacker leur lancer des insultes racistes via leur caméra. Au Texas, des parents ont été réveillés par une voix exigeant 50 bitcoins en rançon.
Une action collective en justice a été lancée en 2020 par plusieurs familles. Ring a alors été contraint de rendre l'authentification à deux facteurs obligatoire par défaut sur les nouveaux appareils — ce qui n'était pas le cas auparavant.
Sources : CNN Business, ABC News, NBC News, BuzzFeed News, Today Show — décembre 2019 à janvier 2020
La marque Ezviz est une filiale du groupe chinois Hikvision, dont les équipements sont interdits dans les administrations publiques aux États-Unis (depuis 2019, NDAA), au Royaume-Uni (depuis 2022 dans les bâtiments sensibles) et progressivement restreints en France pour les usages sensibles. Les autorités invoquent des risques liés à la collecte de données par le fabricant et la possibilité d'accès à distance par les autorités chinoises selon la loi sur le renseignement chinoise de 2017.
Sources : National Defense Authorization Act (NDAA) 2019, déclarations gouvernement britannique novembre 2022
En janvier 2019, une famille de l'Illinois a rapporté qu'un inconnu avait pris le contrôle de leur thermostat et de leur caméra Nest, parlant à leur bébé de 7 mois et montant le chauffage à 32°C. Google a reconnu que les comptes utilisaient des mots de passe compromis lors d'autres fuites de données — un phénomène appelé "credential stuffing" — mais que ses systèmes n'avaient pas été directement piratés.
Source : NBC Chicago, janvier 2019
Ces exemples ne sont pas anecdotiques. Ils illustrent trois mécanismes principaux par lesquels les caméras WiFi grand public peuvent être compromises :
Les pirates récupèrent des bases de millions d'identifiants/mots de passe issus de fuites de données (LinkedIn, Yahoo, Adobe, etc.) et les testent automatiquement sur les comptes Ring, Arlo, Nest. Si l'utilisateur a réutilisé son mot de passe, l'accès à sa caméra est immédiat. C'est de loin le mécanisme le plus utilisé.
Pour une cinquantaine d'euros sur certains sites, on peut acquérir un brouilleur WiFi qui sature la fréquence 2,4 GHz. La caméra perd alors la connexion et ne peut plus enregistrer ni envoyer d'alertes. Un cambrioleur peut ainsi neutraliser un système entier en quelques secondes — sans même chercher à le pirater. Une caméra filaire est totalement insensible à cette attaque.
Les caméras WiFi reçoivent des mises à jour automatiques. Mais entre la découverte d'une faille et son correctif, plusieurs semaines voire mois peuvent s'écouler. Pendant cette période, des attaquants exploitent activement la vulnérabilité. Et certains modèles plus anciens ne reçoivent plus aucune mise à jour — ils restent indéfiniment exposés.
Cette vulnérabilité accrue n'est pas un hasard. Elle découle directement de l'architecture technique de ce type de produit :
Une caméra WiFi communique sur les ondes radio. Toute personne dans un rayon de 30 à 100 mètres peut capter le signal, le brouiller, ou tenter de l'attaquer. Une caméra filaire ne transmet rien dans l'air — il faut un accès physique au câble pour l'intercepter, ce qui est infiniment plus complexe.
Vos enregistrements vidéo sont stockés sur les serveurs du fabricant (Amazon Web Services pour Ring, etc.). Cela signifie que vos images peuvent être théoriquement consultées par les employés du fabricant, partagées avec les autorités sur simple demande, ou exposées en cas de fuite massive de données.
Pour économiser la batterie, les caméras sans fil ne filment qu'en cas de détection. Un cambrioleur expérimenté peut donc se déplacer lentement pour ne pas déclencher l'enregistrement, ou attendre que la batterie soit faible (notification souvent ignorée). Une caméra filaire enregistre en continu, 24h/24.
Les fabricants grand public sortent régulièrement de nouveaux modèles et arrêtent le support des anciens. Si votre caméra a 5 ans, elle peut ne plus recevoir aucune mise à jour de sécurité, devenant une porte d'entrée potentielle. Un système professionnel filaire peut fonctionner et être maintenu pendant 10 à 15 ans.
Les systèmes de vidéosurveillance filaires utilisés par les professionnels reposent sur une architecture fondamentalement différente. Ils s'appuient sur deux technologies principales :
Chaque caméra est reliée par un câble Ethernet unique qui transporte à la fois l'alimentation électrique et les données vidéo. Les images sont enregistrées localement sur un NVR (Network Video Recorder) installé dans un endroit sécurisé de votre domicile ou local — pas dans le cloud d'un fabricant étranger.
Avantages concrets :
Dans une installation professionnelle correctement configurée, le réseau de vidéosurveillance est physiquement et logiquement séparé du réseau internet domestique. Cela signifie qu'un attaquant qui pirate votre WiFi (depuis votre voisin par exemple) n'a aucun accès à vos caméras. Be.SAFE configure systématiquement cette isolation lors de nos installations professionnelles.
Avec un système filaire pro, vous décidez qui accède à quoi : utilisateurs locaux, accès distant via VPN sécurisé, etc. Pas de compte cloud obligatoire chez Amazon ou Google. Pas de partage de données avec le fabricant. Vous êtes maître de votre infrastructure.
Si vous êtes particulier et hésitez entre une solution WiFi grand public et un système filaire pro, voici notre approche pragmatique :
👉 Si votre budget est très limité (moins de 300 €) : Une caméra WiFi peut être un point de départ acceptable, à condition d'activer obligatoirement la double authentification (2FA), d'utiliser un mot de passe unique très complexe, et d'être conscient(e) des limites évoquées plus haut. Une telle solution est un effet dissuasif, pas une protection robuste.
👉 Si vous protégez une maison familiale (à partir de 800 €) : Privilégiez sans hésiter un système filaire pro avec NVR local. La différence de coût est rapidement amortie par la durée de vie supérieure (10-15 ans contre 3-5 ans), l'absence d'abonnement obligatoire et la qualité d'enregistrement nettement supérieure. Be.SAFE propose des packs particuliers à partir de 1 200 € installés.
👉 Pour une résidence secondaire ou maison isolée : Le filaire pro est indispensable. Une résidence secondaire est par définition souvent vide, donc particulièrement exposée. Un système WiFi peut être brouillé pendant des semaines sans que vous soyez alerté, contrairement à un NVR filaire avec sauvegarde redondante.
Pour les professionnels (commerces, entreprises, ERP), la question est tranchée : les caméras WiFi grand public ne sont pas adaptées et exposent à des risques réels :
Pour les ERP (établissements recevant du public), la réglementation impose de plus en plus souvent des dispositifs certifiés APSAD R82 — une norme que les caméras WiFi grand public ne peuvent pas obtenir par construction.
Les caméras WiFi grand public type Arlo, Ring ou Ezviz ne sont pas inutiles — elles ont leur place sur le marché de la surveillance d'appoint à petit budget. Mais elles ne doivent pas être présentées comme des solutions de sécurité robuste équivalentes à du matériel professionnel. Les vulnérabilités techniques documentées (CVE), les vagues de piratages médiatisés et les architectures cloud-dépendantes en font des dispositifs fragiles par construction.
Pour qui souhaite une vraie sécurité — particulier soucieux de protéger sa famille, commerçant qui doit défendre son stock, entreprise qui doit respecter le RGPD — le système filaire professionnel reste l'unique choix raisonnable. Le surcoût initial est largement compensé par la longévité, la fiabilité et la maîtrise totale des données.
Chez Be.SAFE, nous installons exclusivement des solutions filaires professionnelles parce que nous estimons que c'est notre devoir de conseil. Nous savons que cela représente un investissement, mais nous savons aussi que la véritable sécurité n'a pas de prix dérisoire.
Audit sécurité gratuit · Devis sous 24h · Installation soignée · Stockage local · Maintenance 10+ ans