Les objets connectés sont devenus omniprésents dans nos foyers : caméras de surveillance, thermostats, assistants vocaux… Malheureusement, leur sécurité laisse parfois à désirer, comme nous le rappelle une nouvelle fois Bitdefender, qui vient de révéler une faille critique sur les caméras de sécurité Dahua Hero C1. Cette vulnérabilité permettrait à un attaquant d’accéder à la caméra à distance, sans autorisation, et sans que l’utilisateur ne s’en aperçoive. Une situation qui n’est pas sans nous rappeller un incident similaire survenu chez Eufy fin 2022.
Dahua Hero C1 : une caméra qui surveille… mais peut aussi vous trahir
La Dahua Hero C1 (DH-H4C) est une caméra intérieure Wi-Fi vendue comme un produit simple à installer, sécurisé, et notamment compatible avec Alexa. Sauf que, selon les chercheurs de Bitdefender, un défaut dans sa configuration réseau permet à un attaquant de s’y connecter à distance sans mot de passe. Dans certaines conditions bien évidemment.
Pour résumer, la faille se situe dans la façon dont la caméra de surveillance gère les communications avec l’application mobile. Une fois initialisée, la Hero C1 utilise un mécanisme d’autorisation trop permissif pour dialoguer avec les serveurs Dahua, et cette faiblesse peut être exploitée depuis Internet. C’est ce qu’on appelle une faille RCE (Remote Code Execution) qui permet d’exécuter du code malveillant à distance.
En clair : un cybercriminel peut prendre le contrôle de la caméra, visionner le flux vidéo en direct, voire modifier son comportement, et ce sans que le propriétaire ne s’en aperçoive. Pas terrible, n’est-ce pas ?
Dahua propose une mise à jour corrective
Si vous détenez une Hero C1 (DH-H4C) , rassurez-vous, Dahua a publié un correctif avec le firmware v1.0.0.20240724. Il est disponible depuis le 24 juillet 2025, mais comme souvent avec les objets connectés, beaucoup d’utilisateurs se contentent de laisser leurs caméras connectées sans vraiment se soucier de leur mise à jour, ce qui en fait des cibles idéales pour les hackers.
Bitdefender précise avoir prévenu Dahua en mars 2025, et respecté un délai de divulgation responsable en ne publiant les détails techniques de l’attaque qu’après la mise en ligne du correctif, mais l’éditeur de solution de sécurité alerte sur le risque potentiel pour les utilisateurs qui ne mettraient pas leur appareil à jour immédiatement.
Eufy, puis Dahua… et ensuite ?
Ce n’est pas la première fois qu’une marque de caméras de surveillance est prise en défaut. En 2022, un spécialiste de la cybersécurité avait détecté une faille majeur sur les caméras et sonnettes Eufy. La filiale d’Anker avait tardé à réagir à ses alertes alors même qu’elle diffusait des captures non chiffrés sur Internet, et pour avoir permis à certains utilisateurs d’accéder accidentellement aux vidéos d’autres clients.
La faille de Dahua est donc une nouvelle illustration des limites des objets connectés grand public en matière de cybersécurité et prouve que même les plus grandes marques ne sont pas à l’abri d’incidents. Cette fois, cependant, on peut féliciter la marque pour sa réactivité.
Que faire si vous possédez une Dahua Hero C1 ?
Si vous possédez une caméra Dahua Hero C1 (DH-H4C), nous vous conseillons donc d’agir au plus vite et de suivre les recommandations de Bitdefender.
A savoir :
- Vérifiez la version du firmware dans l’application mobile Dahua,
- Appliquez au plus vite la mise à jour v1.0.0.20240724,
- Redémarrez la caméra après la mise à jour,
- Et, si possible, isolez vos caméras sur un VLAN ou un réseau dédié (comme un réseau invité Wi-Fi).
Suivez-nous sur Google Actualités