Lettre aux 10 fabricants de caméras Web au Canada et aux États-Unis

Le Commissariat à la protection de la vie privée du Canada (Commissariat) a fait parvenir à 10 fabricants de caméras Web une lettre exprimant ses préoccupations concernant les caméras Web accessibles sur Internet et les pressant de veiller à prendre les mesures de sécurité qui s’imposent afin de protéger la vie privée de leurs clients. L’utilisation de ces caméras Web branchées à Internet est devenue une source d’inquiétudes lorsqu’un site Web s’est mis à diffuser des images captées par des caméras non sécurisées partout dans le monde. La lettre aux fabricants de caméras Web a été envoyée en collaboration avec le bureau du commissaire du Royaume-Uni, qui a également écrit à des fabricants de caméras Web [en anglais seulement] pour faire part de préoccupations semblables (anglais seulement). Le Commissariat et plusieurs autres organisations pour la protection des données avaient auparavant écrit à l’exploitant du site Web pour demander que le site soit mis hors ligne. À l’heure actuelle, le site n’est plus disponible.

Le 12 février 2015

Madame,
Monsieur,

Nous vous écrivons pour vous faire part de nos préoccupations concernant les problèmes de sécurité attribuables aux appareils accessibles sur Internet, par exemple les caméras Web, et vous demander de nous aider à réduire les risques d’atteinte à la vie privée des personnes.

En vertu de son mandat, le Commissariat à la protection de la vie privée du Canada a la responsabilité de surveiller la conformité à la Loi sur la protection de la vie privée et les documents électroniques (LPRPDE) et de promouvoir la sensibilisation du grand public au droit à la vie privée en général. Nous sommes résolus à sensibiliser davantage le public et l’industrie aux préoccupations dans le domaine, en particulier celles associées à un risque élevé d’atteinte à la vie privée des personnes. L’une des stratégies que nous avons adoptées dans le cadre de l’administration de la législation canadienne sur la protection de la vie privée consiste à promouvoir la conformité grâce à la prévention et à l’éducation.

Au cours des derniers mois, un site Web appelé « Insecam » a grandement retenu l’attention des médias à l’échelle internationale. Jusqu’à tout récemment, ce site Web diffusait en direct les images captées par des caméras branchées à Internet (caméras Web) dans des lieux résidentiels et commerciaux partout dans le monde, donnant ainsi accès à la vie privée de nombreuses personnes. Ces caméras n’étaient pas sécurisées parce que leur propriétaire avait omis de modifier le mot de passe d’origine créé par le fabricant. Ces valeurs par défaut sont souvent facilement accessibles en ligne, ce qui fait que les images des caméras non sécurisées peuvent être vues sur le Web à l’insu du propriétaire.

À un certain moment, Insecam diffusait en continu les images en direct de plus de 73 000 caméras installées dans de nombreux pays. En plus de diffuser ces images, le site Web indiquait le nom du fabricant et le numéro de modèle de chaque caméra et le lieu approximatif où elle était installée. Comme vous pouvez le constater, cette pratique présente un risque élevé d’atteinte à la vie privée et à la sécurité de l’information et constitue une grande source d’inquiétude pour les autorités chargées de l’application des lois sur la protection de la vie privée partout dans le monde.

Nous avons travaillé en étroite collaboration avec d’autres autorités chargées de l’application des lois sur la protection de la vie privée pour rédiger une lettre collective (https://ico.org.uk/media/about-the-ico/documents/1042566/letter-to-the-operators-of-insecam.pdf) exhortant Insecam à prendre des mesures en vue de fermer sans délai le site Web. Le site semble inactif à l’heure actuelle, mais le risque d’atteinte à la vie privée subsistera tant que les caméras conserveront leur configuration initiale.

Souvent, les utilisateurs de caméra ne sont pas conscients du risque auquel ils s’exposent en ne modifiant pas les valeurs par défaut de leur appareil. Nous vous demandons donc, en qualité de fabricant de caméras Web, de prendre les mesures nécessaires afin que vos caméras ne puissent être accessibles de cette façon sans autorisation. Entre autres, vous pourriez mettre en œuvre une solution selon laquelle vos clients seraient tenus de sécuriser l’accès à la caméra avant de pouvoir l’utiliser, par exemple en exigeant que le client modifie le mot de passe avant la première utilisation ou en utilisant un mot de passe par défaut distinct pour chaque appareil, si vous ne le faites pas déjà.

Nous vous encourageons par ailleurs à donner davantage de conseils aux clients pour les aider à sécuriser leur caméra Web. Nous espérons que vous partagerez nos préoccupations et prendrez des mesures efficaces pour protéger la vie privée de vos clients et assurer leur sécurité.

Nous vous prions d’agréer, Madame, Monsieur, l’expression de nos sentiments les meilleurs.

Le directeur général des Enquêtes liées à la LPRPDE du Commissariat à la protection de la vie privée du Canada,

Original signé par

Brent Homan

c.c. Stephen Eckersley
Responsable de l’application de la loi
Commissariat à l’information du Royaume-Uni

Date de modification :