Des centaines de caméras de surveillance, installées sur des façades de maisons ou au coin de rues banales, ont été ciblées par des hackers d’État pour servir d’yeux sur le terrain en plein conflit armé. Le cabinet de cybersécurité Check Point vient de publier les résultats d’une enquête qui révèle l’ampleur d’un phénomène devenu systématique : le piratage de caméras civiles comme outil de renseignement militaire.

Cinq failles connues, zéro correctif appliqué

Les caméras visées sont des modèles grand public de deux fabricants chinois, Hikvision et Dahua, parmi les plus vendus au monde. Les attaquants exploitent cinq vulnérabilités répertoriées, dont la plus ancienne remonte à 2017. Toutes disposent de correctifs publiés par les fabricants depuis des années. Le problème, comme souvent avec les objets connectés, c’est que personne ne les installe. Les propriétaires ignorent la plupart du temps que leur caméra de jardin tourne avec un firmware obsolète, accessible à quiconque sait où chercher.

Les failles permettent de contourner l’authentification, d’injecter des commandes à distance ou d’exécuter du code arbitraire sur l’appareil. Concrètement, un attaquant peut prendre le contrôle total du flux vidéo sans que le propriétaire ne remarque quoi que ce soit. Sergey Shykevich, responsable du renseignement sur les menaces chez Check Point, résume la situation : « Vous obtenez une visibilité directe sans recourir à des moyens militaires coûteux comme les satellites, souvent avec une meilleure résolution », a-t-il déclaré à Wired.

Des frappes guidées par des caméras de quartier

L’enquête de Check Point a détecté des pics d’activité le 28 février et le 1er mars, au moment précis où les frappes iraniennes touchaient plusieurs pays de la région. Les tentatives de piratage ont ciblé des caméras en Israël, au Qatar, à Bahreïn, au Koweït, aux Émirats arabes unis, à Chypre et au Liban. L’infrastructure utilisée par les attaquants, un mélange de VPN commerciaux et de serveurs privés virtuels, a été reliée à trois groupes distincts d’origine iranienne. L’un d’eux, connu sous le nom de Handala, a déjà été identifié par plusieurs entreprises de cybersécurité comme travaillant pour le compte du ministère iranien du Renseignement.

Ce n’est pas la première fois que Check Point observe ce type de campagne. En juin 2025, pendant les douze jours de conflit entre Israël et l’Iran, des schémas similaires avaient été repérés. L’un des cas les plus documentés concerne l’Institut Weizmann des sciences, en Israël. Selon le Jerusalem Post, une caméra de rue pointée vers le bâtiment avait été compromise juste avant qu’un missile balistique ne frappe le site.

À lire aussi

Un hacker prend le contrôle de 7 000 aspirateurs robots DJI. Caméras comprises.
600 pare-feux piratés en 5 semaines : CyberStrikeAI, l’outil qui automatise les cyberattaques

De Téhéran à Kiev, même méthode

L’Iran n’est pas le seul à utiliser cette technique. Le Financial Times a rapporté cette semaine qu’Israël avait accédé à « presque toutes » les caméras de circulation de Téhéran. En partenariat avec la CIA, ces flux vidéo auraient servi à reconstituer les habitudes de déplacement des gardes de sécurité autour de l’ayatollah Ali Khamenei, avant la frappe qui l’a tué. « On connaissait Téhéran comme on connaît Jérusalem », a confié une source des services de renseignement israéliens au Financial Times.

Le même scénario se joue depuis plus longtemps encore en Ukraine. Le Guardian rapportait dès 2025 que la Russie piratait des caméras de surveillance civiles pour cibler ses frappes et surveiller les mouvements de troupes ukrainiens. En retour, des hackers ukrainiens ont pris le contrôle de caméras russes pour espionner des soldats et, selon le Military Times, pour surveiller les effets de leurs propres attaques, y compris la première frappe par drone sous-marin du pays. La BBC a documenté plusieurs de ces opérations de piratage croisé entre les deux camps.

Un problème structurel, pas conjoncturel

Le piratage de caméras de surveillance pour le renseignement militaire n’est plus un cas isolé ni un exploit sophistiqué. Les cinq failles utilisées sont documentées publiquement, corrigées depuis des années, et pourtant elles fonctionnent toujours sur un nombre considérable d’appareils à travers le monde. Hikvision et Dahua, rappelons-le, sont interdits aux États-Unis pour des raisons de sécurité nationale. Aucun des deux fabricants n’a répondu aux sollicitations de Wired.

Pour les particuliers et les entreprises, les recommandations de Check Point restent les mêmes depuis des années : ne jamais laisser une caméra directement accessible depuis internet, changer les mots de passe par défaut, mettre à jour le firmware et isoler les caméras sur un réseau dédié. Des mesures simples, mais qui supposent que les propriétaires sachent que leur matériel est vulnérable. Ce qui, dans l’immense majorité des cas, n’est pas le cas.

Côté réglementation, l’Union européenne travaille sur la mise en application du Cyber Resilience Act, qui imposera aux fabricants d’objets connectés de fournir des mises à jour de sécurité pendant toute la durée de vie du produit. L’entrée en vigueur progressive est prévue entre 2026 et 2027. Pour les millions de caméras déjà installées, il sera trop tard.