Transformer un vieux téléphone en caméra de surveillance, c’est l’une des bidouilles les plus populaires du moment. Bonne idée sur le papier, potentiellement cauchemar pour la vie privée dans la pratique. Et non, le titre de cet article n’est pas une métaphore : quand on prend la peine d’analyser ce que ces applications envoient réellement sur le réseau, certaines découvertes ont de quoi faire refroidir n’importe quel salon.
À retenir
- Des chercheurs ont découvert des flux constants vers des serveurs chinois lors de l’utilisation d’applications de surveillance tierces
- Un fournisseur chinois aurait laissé 1,1 million d’appareils vulnérables se connecter en clair à ses serveurs en 24 heures
- Certaines applications enregistrent le microphone sans autorisation explicite, même hors utilisation active
L’idée de départ : recycler plutôt que jeter
Les smartphones évoluent vite, et les gens tendent à upgrader avant même que leur ancien appareil ne soit vraiment usé. Résultat : des tiroirs remplis de téléphones parfaitement fonctionnels qui dorment. Autant leur donner un second souffle. Avec quelques applications bien choisies, un simple smartphone peut devenir une véritable caméra capable de filmer en continu, de détecter les mouvements et d’envoyer des alertes en temps réel. Sympa. Pratique. Gratuit ou presque.
Mais voilà ce qu’on omet généralement dans les guides « transformer votre vieux téléphone en caméra » : avec les systèmes P2P basés sur le QR code, les images de vidéosurveillance transitent par les serveurs du constructeur, ce qui ne garantit pas une protection de vos images et de votre vie privée. Ces constructeurs sont très majoritairement étrangers, et les lois sur la protection des données y sont différentes de celles en vigueur en France. Voilà le vrai sujet.
Ce que le trafic réseau révèle (et ce que personne ne vous dit)
Brancher un vieux téléphone avec une appli de surveillance tierce, c’est un peu comme inviter un inconnu chez soi et lui confier les clés. Pour savoir ce que l’application fait vraiment dans votre dos, il faut aller voir du côté des paquets réseau. Wireshark est un logiciel open-source ultra-puissant utilisé pour capturer et analyser le trafic réseau, disponible sur Windows, macOS et Linux. Concrètement, ça permet de voir chaque connexion que le téléphone établit, vers quels serveurs, à quelle fréquence, et avec quelle quantité de données.
En connectant le téléphone testé à un réseau Wi-Fi dédié et en enregistrant le trafic pendant 30 minutes à une heure, on peut ensuite télécharger le fichier de capture et le passer en revue avec Wireshark. Ce que certains utilisateurs ont découvert en faisant cet exercice : des flux constants vers des adresses IP localisées en Chine, des connexions au micro maintenues même hors utilisation active de l’appli, des volumes de données sortants anormalement élevés. Rien de fictif là-dedans. Des chercheurs en sécurité ont montré que des applications pouvaient accéder au microphone sans autorisation explicite, enregistrer tout ce qui se dit autour de l’utilisateur, puis transférer les données sur des serveurs tiers.
Le cas le plus documenté récemment est particulièrement éloquent. Le fournisseur chinois Meari, qui équipe 378 références de caméras vendues par Amazon, Fnac et les opérateurs mobiles, laissait son infrastructure ouverte avec des mots de passe par défaut. En 24 heures, un chercheur a comptabilisé 1,1 million d’appareils vulnérables se connectant en clair aux serveurs chinois. Un million cent mille. Posez ce chiffre une seconde.
Ces appareils ne disposeraient généralement pas de système de chiffrement et renverraient directement les données vers le fabricant. Microphone inclus. Le mécanisme révèle une asymétrie de pouvoir : les consommateurs européens croient acheter de la sécurité domestique, mais alimentent en réalité une infrastructure de surveillance centralisée en Chine.
Comment faire ça proprement (si vous tenez quand même à le faire)
La bonne nouvelle, c’est qu’il existe des alternatives qui n’impliquent pas d’expédier votre salon vers un datacenter à Shenzhen. La clé : privilégier les solutions locales, sans cloud, sans compte tiers. Certaines applications transforment le téléphone en caméra IP diffusant son flux vidéo sur le réseau local, accessible depuis un navigateur ou un lecteur vidéo, sans cloud ni compte : parfait pour une utilisation locale et sécurisée.
Avant même d’installer quoi que ce soit, quelques réflexes s’imposent. Réinitialisez votre ancien téléphone pour effacer toutes vos données personnelles, puis actualisez le logiciel pour vous assurer qu’il fonctionne avec les applications modernes en toute sécurité. Ensuite, connectez l’ancien téléphone à un réseau dédié « caméras » via un VLAN pour isoler le trafic du reste de votre réseau domestique. Ce dernier point est souvent ignoré, mais c’est probablement la mesure la plus efficace : si l’appli cause des problèmes, elle n’a accès qu’à elle-même.
Sur Android, au lieu de surveiller le trafic réseau complet, on peut simplement surveiller les requêtes DNS. La plupart des systèmes d’exploitation permettent de configurer ses propres serveurs DNS, et on peut déployer son propre serveur pour enregistrer les requêtes et voir vers quels domaines le téléphone se connecte. Un Pi-hole sur un Raspberry Pi fait exactement ça, de façon quasi automatique. En transformant un Raspberry Pi en Pi-hole, on filtre le trafic indésirable, on surveille l’activité DNS, et on protège mieux le réseau.
Les applications doivent limiter l’accès aux fonctionnalités non essentielles comme la caméra, le microphone ou la géolocalisation : c’est ce que la CNIL exige. À partir du début du printemps 2025, la CNIL a déployé une campagne spécifique de contrôle des applications mobiles pour s’assurer du respect des règles applicables. Bref, vérifiez manuellement les permissions accordées à votre application de surveillance dans les réglages Android. Si une appli « caméra » réclame l’accès aux contacts, à la localisation en permanence ou au micro en arrière-plan sans raison évidente, c’est un signal d’alarme.
Le vrai problème, c’est l’écosystème entier
Ce n’est pas juste un problème d’applis gratuites douteuses téléchargées sur des sites suspects. C’est structurel. Plusieurs pays ont restreint l’installation de caméras de surveillance chinoises dans certains sites jugés sensibles en raison de craintes d’espionnage. Le département de la Sécurité intérieure américain a publié une note alertant sur l’absence de paramètres de chiffrement et de sécurité des données sur les caméras vendues à l’étranger par Pékin.
En Europe, cinq pays, le Royaume-Uni, le Danemark, la Lituanie, la Tchéquie et les Pays-Bas — ont mis en place des restrictions relatives à l’achat et à l’installation de caméras chinoises à l’intérieur de sites jugés sensibles. Ce qui pose une question simple : si ces caméras ne sont pas assez sûres pour les bâtiments gouvernementaux, pourquoi le seraient-elles pour votre salon ?
La réponse honnête : elles ne le sont probablement pas. L’environnement mobile présente plus de risques que le web pour la confidentialité et la sécurité des données. Les applications mobiles ont en effet accès à des données plus variées et parfois plus sensibles, comme la localisation en temps réel, les photographies ou encore des données de santé. Et quand on active le micro d’un téléphone posé dans le salon pour en faire une caméra de surveillance, on ajoute une dimension supplémentaire que peu d’utilisateurs anticipent.
La vraie précaution finale, souvent sous-estimée : désactivez le microphone dans les permissions de l’application si vous n’avez besoin que de vidéo. Certaines applications enregistrent les informations localement sur l’appareil uniquement lorsqu’une anomalie est perçue, sans rien envoyer vers l’extérieur, c’est ce type d’architecture qu’il faut chercher. Et si vous avez un doute sur ce que votre appli transmet réellement, lancez Wireshark, laissez tourner une capture une heure, et cherchez les adresses IP de destination. Le résultat peut surprendre, même sur des applications en apparence anodines.
Sources : phonandroid.com | lebigdata.fr