Vous achetez une caméra domestique, vous la branchez, vous la connectez au Wi-Fi, vous installez l’application sur votre téléphone, vous scannez un QR code. Trois minutes, c’est fait. Désormais, vous pouvez vérifier depuis le bureau ce que fait votre chat à la maison.
Tout est parfait.
Jusqu’au jour où un ami vous envoie un lien en vous disant « regarde ça ». Vous cliquez. Vous voyez votre salon. Votre veste de la veille sur le canapé, votre thé à moitié bu sur la table basse. En bas à droite, une adresse IP et le nom d’une ville.
Vous n’avez jamais partagé cette image. Vous n’avez donné le mot de passe à personne. Vous ne saviez même pas que votre caméra pouvait s’ouvrir dans un navigateur web.
Mais à cet instant, n’importe qui — absolument n’importe qui ouvrant cette page web — est en train de regarder votre salon.
Ce n’est pas le début d’un roman d’horreur. C’est le quotidien qu’un projet appelé IP Crawl a exposé au monde entier.
Un développeur, 4,2 milliards d’adresses IP
En juin 2026, un développeur sous le pseudonyme d’Alec a propulsé un site en tête de Hacker News, récoltant 192 votes et plus d’une centaine de discussions enflammées. Le site s’appelle IP Crawl (ipcrawl.com) et sa fonction est d’une simplicité qui parle à tout le monde : c’est une carte vivante des caméras publiques. Vous ouvrez la page et vous voyez, en temps réel, des captures d’écran de caméras du monde entier — écoles, hôpitaux, usines, bâtiments gouvernementaux, hôtels, salons de particuliers, et même chambres à coucher.
Toutes ces caméras ont un point commun : elles sont accessibles sans aucun mot de passe. Pas besoin de pirater, pas besoin de compétences en hacking, pas besoin de « bases de données d’ingénierie sociale ». Il suffit de taper une adresse dans son navigateur, et l’image apparaît.
Ce qu’Alec a fait n’est pas techniquement complexe, mais du point de vue de l’ingénierie, c’est à donner des sueurs froides à n’importe quel professionnel de la sécurité. Il a écrit un programme qui parcourt l’intégralité de l’espace d’adressage IPv4 public — environ 4,2 milliards d’adresses IP. Sur chaque IP, le programme teste une par une des dizaines de chemins d’accès aux captures d’écran de webcams connues. Hikvision, Dahua, Axis, D-Link, TP-Link, SONY… Les interfaces de capture de presque toutes les grandes marques de caméras du marché ont des URLs publiques, standardisées, triviales à deviner sans même ouvrir la documentation.
Le programme frappe à chaque porte. S’il obtient une réponse, il capture l’image. Sinon, il passe à l’adresse suivante. Pas de brute-force de mots de passe, pas d’exploitation de vulnérabilités, pas d’installation furtive de backdoor — il ne fait qu’une seule chose : photographier les portes qui n’étaient déjà pas verrouillées, et les cataloguer.
Pour reprendre les mots d’Alec : « To be absolutely clear: the engine never attempts authentication, brute-forces credentials or exploits software vulnerabilities. It only catalogues what is already completely open to the public internet. »
Cela semble mesuré. Mais quand on voit ce que contient ce catalogue, le mot « mesuré » prend une tout autre dimension.
Vous n’imaginerez jamais ce qu’on y trouve
L’éventail de ce qui est exposé sur IP Crawl dépasse de loin ce que la plupart des gens pourraient concevoir. Voici quelques cas documentés :
- Les bureaux du siège japonais de SONY : les caméras de sécurité directement connectées à l’internet public, sans contrôle d’accès, sans authentification ;
- Des sites d’infrastructures critiques en Israël : des images d’installations sensibles, consultables sur une simple page web ;
- Une résidence à Droitwich, au Royaume-Uni : la caméra braquée sur une installation de culture indoor, probablement du cannabis ;
- Une caméra discrète à Salt Lake City, aux États-Unis : angle suspect, ne correspondant pas à une installation professionnelle standard, ressemblant davantage à un dispositif placé clandestinement ;
- Des couloirs et salles de classe d’écoles ;
- Des couloirs d’hôpitaux et l’accès à des chambres ;
- L’intérieur de crèches ;
- Des ateliers d’usine et des salles de contrôle industrielles.
Et ce n’est que la partie émergée de l’iceberg qu’Alec a choisi de montrer. Il écrit : « Schools, colleges, hospitals, government facilities, corporate offices, residential living rooms, daycares, indoor cultivation setups, industrial complexes and manufacturing plants. Every day you will see something new. »
Un utilisateur de HN l’a résumé avec une franchise désarmante : « I looked into someone’s bedroom. Fortunately it was empty, but I promptly shat myself and turned off my computer. »
Ce n’est pas un film d’horreur. C’est la réalité, en 2026, dans une époque où l’on pensait la conscience de la cybersécurité largement diffusée.
Pourquoi tant de caméras sont-elles nues sur l’internet public ?
La première réaction du lecteur ordinaire sera probablement : « Mais qui exposerait délibérément sa caméra sur internet ? »
La réponse : l’immense majorité des personnes exposées ignorent totalement que leur caméra l’est. Trois forces conjuguées produisent cette situation.
La première force : l’inaction des fabricants.
Hikvision, Dahua, Axis, D-Link, Wyze, SONY — Alec énumère une longue liste de marques dans son blog technique, puis écrit : « Shipping hardware this vulnerable directly violates customer privacy and creates a massive security liability. »
Ces caméras sortent d’usine avec des mots de passe par défaut, généralement des combinaisons minimalistes comme admin/admin ou admin/12345. De nombreux modèles ne nécessitent même pas de mot de passe pour accéder au flux vidéo via certaines URLs — c’est précisément le mécanisme qu’exploite le scan d’IP Crawl. Les fabricants le savent pertinemment, mais entre les coûts et la commodité, quasiment aucun n’a modifié substantiellement les paramètres d’usine.
Le soupçon d’Alec va plus loin : « Risking the label of a conspiracy theorist, it’s starting to look less like negligence and more like a legally sanctioned backdoor for mass surveillance. »
La deuxième force : la redirection automatique de ports des routeurs.
De nombreux routeurs grand public activent par défaut une fonction appelée UPnP (Universal Plug and Play). Elle a été conçue pour la commodité — un appareil branché se configure automatiquement sur le réseau, sans que l’utilisateur ait à paramétrer manuellement les redirections de ports. Mais cela signifie aussi que dès qu’une caméra demande au routeur « ouvre-moi un port », le routeur obéit. L’utilisateur n’en sait rien.
Un utilisateur de HN l’a souligné avec justesse : « UPnP is not disabled by default on all routers, especially older ones. So devices may just try to port-forward certain control or media ports. »
Autrement dit, vous achetez une caméra, vous la branchez, vous la connectez. La caméra dit au routeur : « J’ai besoin d’une porte vers l’extérieur. » Le routeur l’ouvre. Et tous les scanners de la planète — pas seulement IP Crawl, mais aussi des moteurs de recherche IoT comme Shodan — découvrent cette porte.
De votre côté, vous n’avez fait que scanner un QR code.
La troisième force : la culture du « tant que ça marche » des installateurs.
Dans bien des cas, les caméras ne sont pas installées par l’utilisateur lui-même. L’utilisateur HN Aurornis décrit un scénario très concret : l’installateur a passé la journée à grimper dans les faux plafonds, il est en sueur, il veut juste finir le travail et rentrer chez lui. « Some installer with a git-er-done attitude knows their customer wants a solution to something (remote access) and they use the first technique they can find to accomplish that without any concern about what it means. »
Un autre utilisateur a résumé l’état du secteur avec une formule mémorable : « Most CCTV contractors are not network security experts. Most network security experts would quit before ever entering a hot attic. »
Résultat : la solution finale se résume souvent à « ouvrir le port, tant qu’on peut voir l’image ». Quant à qui d’autre peut la voir — le contrat d’installation ne mentionne pas cette clause.
« Commodité technique » et « sécurité de la vie privée » n’ont jamais été mutuellement exclusifs
Il existe une opposition fondamentale : le consommateur veut de la commodité — pouvoir regarder la caméra de la maison depuis son téléphone quand il est en déplacement. Mais le chemin emprunté par l’industrie pour fournir cette « commodité » consiste à exposer directement le port de la caméra sur l’internet public.
Ce n’est pourtant pas la seule façon de faire. Sur HN, des utilisateurs au profil technique ont proposé une architecture plus sûre : les fabricants fourniraient un serveur proxy relais ; la caméra et le proxy établiraient une connexion chiffrée ; l’utilisateur visualiserait le flux via le proxy, sans jamais exposer l’adresse IP réelle de la caméra. Des applications comme Signal ou WhatsApp Video ont déjà démontré la viabilité de cette approche.
Le problème, c’est que cela exige des fabricants qu’ils investissent dans une infrastructure serveur, conçoivent des mécanismes d’autorisation sécurisés et fournissent une documentation claire. La réalité actuelle : aucun fabricant n’est prêt à payer pour « une sécurité que l’utilisateur ne voit pas ».
Alec écrit dans son blog : « The goal is straightforward: turn public exposure into pressure, forcing both manufacturers and users to take privacy seriously. »
C’est une stratégie de transparence comme levier de changement. Mais elle a aussi déclenché un débat moral intense sur HN.
Faut-il colmater la brèche ou éteindre le projecteur ?
Une partie significative des utilisateurs de HN a exprimé un malaise face au projet IP Crawl. Le commentaire de « naturalmovement » a reçu un large soutien : « There’s a difference between your neighbor not closing her blinds and you using a telescope to look inside her apartment, which is what sites like this are. »
Un autre utilisateur a été plus direct : « Definitely an invasion of privacy. I can’t visit this website in good faith. It should be taken down. »
Mais d’autres ont rétorqué : Shodan existe depuis plus de dix ans et permet aussi de trouver ces caméras exposées — faut-il également fermer Shodan ? Google permet aussi de trouver des panneaux d’administration sans mot de passe — faut-il aussi fermer Google ?
Un point de vue plus profond est venu de l’utilisateur « portaouflip » : « I’d also ask us tech savvy people to practice some humility. Yes, the people setting up these cameras are not following security best practices. But are you sure that you will not make the same mistakes? »
C’est un débat sans réponse universelle. Mais quel que soit le camp que l’on choisisse, un fait demeure incontestable : le trou noir exposé par IP Crawl est bien réel. Même si ce site était fermé, ces caméras continueraient d’être nues sur l’internet public. N’importe qui capable d’écrire une boucle for peut les trouver.
Ce que vous devriez faire maintenant
Le site IP Crawl propose une fonction « Vérifiez votre zone » : vous entrez votre localisation approximative, il vous montre les caméras exposées référencées près de chez vous. L’idée est de vous permettre de vérifier si votre propre domicile figure sur cette liste.
Si vous avez des caméras connectées chez vous, voici les mesures à prendre immédiatement pour réduire les risques d’exposition :
Premièrement, changez immédiatement le mot de passe par défaut. Pas de admin/admin, pas de 12345, pas de date de naissance ou de numéro de téléphone. Choisissez un mot de passe d’au moins 12 caractères, mêlant lettres, chiffres et symboles. Si le firmware de votre caméra ne supporte pas les mots de passe robustes — cette caméra ne mérite pas votre confiance.
Deuxièmement, vérifiez les paramètres UPnP de votre routeur. La grande majorité des routeurs grand public permet de désactiver l’UPnP. Désactivez-le. Cela signifie que vous devrez peut-être configurer manuellement les nouveaux appareils à l’avenir, mais ce léger inconvénient ne pèse rien face au risque de violation de votre vie privée.
Troisièmement, si vous avez besoin d’accéder à vos caméras à distance, n’utilisez pas la redirection de ports. Demandez au fabricant s’il propose un service cloud de relais sécurisé, ou montez vous-même un tunnel VPN. Cette dernière option demande un certain niveau technique, mais si vos données sont vraiment importantes — c’est un prix nécessaire à payer.
Quatrièmement, envisagez de remplacer les marques qui ne fournissent pas de mises à jour de sécurité. Si un fabricant ne propose pas de mises à jour du firmware, ne corrige pas les vulnérabilités connues, ne prend pas en charge les connexions sécurisées — jetez son matériel. C’est une question de respect envers vous-même et votre famille.
Enfin
Le projet IP Crawl d’Alec est, fondamentalement, une loupe. Elle ne grossit pas des vulnérabilités techniques — ces failles sont débattues depuis plus de dix ans. Elle grossit l’indifférence systémique de tout un écosystème industriel envers les gens ordinaires : les fabricants savent que c’est dangereux, mais continuent de vendre ; les installateurs savent qu’ils ne sont pas qualifiés, mais continuent d’installer ; les plateformes savent qu’il y a un risque, mais continuent de connecter.
Et le prix final est payé par la personne qui devrait le moins avoir à le payer — ce consommateur ordinaire qui voulait juste regarder son chat.
Alec conclut son billet par une phrase que je veux reprendre pour clore cet article, parce qu’elle capture une vérité simple et importante :
« Step. The. F*ck. Up. »
Traduit en français, cela donne à peu près : Faites. Votre. Putain. De. Boulot.
Références :
- Site IP Crawl : https://ipcrawl.com/
- Blog technique d’Alec « IP Crawl: Exposing The Massive Open Webcam Crisis » : https://alec.is/posts/ip-crawl-exposing-the-massive-open-webcam-crisis/
- Discussion Hacker News (192 points / 107 commentaires) : https://news.ycombinator.com/item?id=48700834
- Article connexe « 40,000+ Internet-connected Cameras Exposed Streaming Live » : https://cybersecuritynews.com/40000-internet-connected-cameras-exposed/
- Moteur de recherche IoT Shodan : https://www.shodan.io/