Évaluation de la confidentialité de la caméra Tapo

À première vue, les paramètres par défaut de la caméra C225 semblent raisonnables. Les vidéos ne sont apparemment transférées vers le service cloud de TP-Link que si vous souscrivez à un abonnement payant, et ce uniquement par séquences de trois minutes lorsqu’un mouvement ou un bruit, déterminé au préalable par vos soins, est détecté. Sans abonnement, les vidéos ne sont pas stockées sur les serveurs de TP-Link et ne peuvent être enregistrées que localement sur une carte microSD, située sous la base de l’appareil et dont le retrait ne peut se faire sans déclencher une alerte de la caméra.

Il convient de noter d’emblée que la seule façon de configurer l’appareil est de passer par le Bluetooth ou Apple HomeKit ; vous devrez donc télécharger l’application TP-Link Tapo pour commencer. Une fois l’application ouverte, vous devrez créer un compte auprès de TP-Link. Cette étape est obligatoire : vous ne pourrez pas utiliser l’application (et donc la caméra) sans compte.

Notre analyse du trafic révèle que la caméra C225 établit constamment des connexions avec AWS, même lorsqu’elle n’enregistre pas. Après avoir contacté TP-Link, nous avons appris que ces connexions constituent un trafic de maintien de connexion permettant « aux utilisateurs de gérer la caméra à distance via l’application Tapo en dehors du réseau local » et qu’elles ne contiennent aucune donnée personnelle. Lorsque la caméra est éteinte, le seul trafic réseau émis correspond aux requêtes DNS qui lui indiquent à quels serveurs se connecter.

Le traitement par l’IA utilisé pour détecter les mouvements et distinguer les personnes est partiellement exécuté sur l’appareil lui-même : lors des tests de l’IA, l’accès à Internet de la caméra est bloqué de manière sélective. Cependant, l’application Tapo permet également d’associer des événements aux séquences vidéo téléchargées sur le cloud afin de contribuer à l’entraînement du modèle d’IA. Il semble que ces métadonnées soient associées aux séquences au niveau du cloud plutôt que d’être stockées sur l’appareil ; nous devons donc nous interroger sur l’étendue réelle de l’accès dont dispose TP-Link. La détection des personnes est activée par défaut, tandis que la détection des véhicules, des animaux domestiques et, surtout, des visages est désactivée.

La reconnaissance faciale est désactivée par défaut, ce qui est tout à fait justifié compte tenu de la nature sensible des données biométriques.

Lors de votre inscription, TP-Link recueille votre adresse e-mail, qui est ensuite associée à toutes vos caméras. Si vous vous abonnez à TapoCare, TP-Link stockera également vos enregistrement vidéo sur Amazon Web Services.

Il est recommandé de lire attentivement la politique de confidentialité : l’hébergement cloud de TP-Link fait largement appel à Amazon Web Services. AWS est un fournisseur d’infrastructure cloud réputé et largement utilisé, ce qui est une bonne nouvelle. Cependant, cela signifie que les enregistrements de vos caméras, s’ils sont mis en ligne, transitent par un service tiers doté de ses propres conditions d’utilisation, politiques de conservation et contrôles d’accès.

Si vous acceptez de participer au Programme d’amélioration de l’expérience utilisateur, TP-Link recueille le numéro IMEI de votre téléphone ainsi que des données relatives à l’appareil que vous utilisez, telles que la version du système et les données d’utilisation du produit. On retrouve également ici toutes les clauses habituelles en matière de marketing. TP-Link peut transmettre les données en sa possession à ses partenaires marketing, à condition qu’elles soient préalablement anonymisées et regroupées. Cette pratique n’est pas des plus réjouissantes, mais elle est courante chez tous les fabricants de produits technologiques.

Ce que la politique de confidentialité ne précise pas clairement, c’est si vos enregistrements vidéo vous appartiennent exclusivement ou si les employés de TP-Link peuvent également y accéder. Étant donné que ces enregistrements sont stockés sur l’infrastructure AWS de TP-Link, cette question n’est pas anodine. Interrogé à ce sujet, TP-Link a déclaré : « Dans le cadre normal de ses activités, aucun employé de TP-Link ne peut accéder aux enregistrements vidéo. Dans les rares cas d’incident de sécurité avéré, un petit groupe d’employés de TP-Link basés au siège californien peut accéder aux journaux système et aux métriques nécessaires pour enquêter sur l’incident. Ce processus est strictement contrôlé et nécessite des autorisations à plusieurs niveaux de la part de la direction du siège américain ».

Le chercheur spécialisé dans la sécurité Simone Margaritelli a découvert que le modèle C200 de TP-Link (légèrement différent du C225) utilisait la même clé SSL à chaque fois. Sans entrer dans les détails techniques, la clé SSL sert à chiffrer le flux vidéo renvoyé vers les serveurs de TP-Link. Cela signifie que si un pirate informatique a accès à votre réseau local, il serait en mesure de déchiffrer facilement et de visionner le flux vidéo provenant de votre caméra.

Bien que TP-Link ait publié un correctif de micrologiciel, il convient de tenir compte de la lenteur de la réaction et de la gravité de cette faille.

TP-Link est également surveillé de près par le gouvernement américain. À la suite d’une série d’enquêtes menées par les départements du Commerce, de la Défense et de la Justice, TP-Link s’est scindé en deux entités en 2024 : TP-Link Technologies, basée à Shenzhen, et TP-Link Systems, dont le siège social se trouve à Irvine, en Californie.

La société, dont le siège se trouve aux États-Unis, affirme exercer ses activités en toute indépendance et précise qu’aucun gouvernement étranger ne bénéficie d’un accès à la conception ou aux données de ses produits. Cela n’a toutefois pas empêché les États-Unis d’envisager par le passé d’interdire les produits TP-Link sur leur territoire, ce qui a conduit à la décision d’interdire totalement la vente de nouveaux routeurs fabriqués à l’étranger. Le procureur général du Texas, Ken Paxton, a engagé une procédure judiciaire contre TP-Link, affirmant que l’entreprise constitue une menace pour la sécurité nationale.

TP-Link affirme ne pas vendre vos données personnelles.

La caméra peut être utilisée en mode entièrement hors ligne. Bien qu’il soit nécessaire de se connecter pour la configuration initiale, une fois la configuration TP-Link terminée, la caméra peut être gérée via un réseau local à l’aide du protocole RTSP, connectée à un NAS ou utilisée avec une carte microSD, le tout sans aucune connexion au cloud. Pour les utilisateurs habitués à la gestion des réseaux locaux, il s’agit d’une option véritablement utile.

La caméra de TP-Link utilise également des modèles d’IA locaux pour détecter les personnes, les animaux domestiques et les véhicules. Ces fonctions sont opérationnelles même sans connexion réseau, ce qui laisse supposer qu’au moins une partie du traitement par IA s’effectue directement sur l’appareil lui-même, plutôt que sur le cloud.

La caméra vous permet également de définir des zones de confidentialité. Il s’agit de zones de votre domicile pouvant contenir des éléments sensibles, qui sont masquées par une bande noire pendant l’enregistrement. Notez que ce paramètre est réinitialisé si la caméra est déplacée ou pivotée ; vous devrez donc reconfigurer ces zones si la caméra a été déplacée.

TP-Link indique que Tapo utilise un cryptage AES 128 bits et les protocoles TLS 1.2 pour protéger les données en transit, et que la plateforme détient les certifications ISO 27001 et ISO 27701 en matière de sécurité de l’information et de gestion des données personnelles.

Si vous vous abonnez au service cloud TapoCare de TP-Link, il semble impossible de désactiver le transfert automatique des enregistrements déclenchés par un mouvement vers les serveurs de TP-Link sans résilier complètement votre abonnement. Il s’agit là d’une contrainte importante : si vous souhaitez stocker certains enregistrements dans le cloud mais pas d’autres, ou si vous souhaitez suspendre temporairement les transferts, aucun mécanisme ne vous permet de le faire.

Vous pouvez simplement choisir de ne pas vous abonner, ce qui empêchera la caméra de mettre en ligne des enregistrements vidéo. Cependant, si vous n’utilisez pas le service cloud de TP-Link, il n’y a aucune raison de maintenir la connexion de la caméra à ce service ; dans ce cas, il est préférable de faire fonctionner la caméra entièrement hors ligne.

Vous pouvez déconnecter complètement votre caméra du réseau en configurant votre routeur de manière à empêcher la C225 de transmettre du trafic en dehors de votre réseau, grâce à un pare-feu qui bloquera son adresse IP. Elle continuera de fonctionner et vous pourrez la gérer localement via l’application Tapo. Si vous craignez vraiment d’être espionné, il est également possible de vous déconnecter totalement de l’écosystème TP-Link en utilisant le protocole RTSP intégré à la caméra.

Idéalement, votre caméra IP devrait également être connectée à un réseau totalement distinct, isolé de vos appareils principaux. Cela permet de limiter les effets négatifs si la caméra venait à être piratée, en empêchant un pirate de s’en servir comme point d’ancrage pour accéder au reste de votre réseau domestique. Activez l’authentification à deux facteurs sur votre compte Tapo et veillez à mettre à jour régulièrement le micrologiciel de la caméra, en suivant les avis de sécurité publiés par TP-Link.

Plusieurs problèmes font que le Tapo C225 n’est pas une solution tout à fait satisfaisante en matière de respect de la vie privée. La conception de TP-Link est globalement judicieuse et correspond dans l’ensemble à ce que l’on attend d’une caméra respectueuse de la vie privée. Le traitement par IA local, le fonctionnement hors ligne via RTSP et les zones de confidentialité constituent autant d’atouts indéniables.

Cependant, l’impossibilité de désactiver le transfert vers le cloud tant que l’on est abonné à TapoCare, à moins de résilier complètement l’abonnement, constitue un choix de conception discutable. Le délai de réponse aux failles de sécurité sur des appareils Tapo similaires est préoccupant. Pire encore, la surveillance réglementaire accrue dont fait l’objet TP-Link en tant qu’entreprise ajoute une couche d’incertitude qu’il est difficile d’ignorer lorsque l’appareil en question enregistre des vidéos au sein même de votre domicile.

Si vous décidez de faire l’achat de cet caméra, utilisez-la en mode hors ligne. Si cela n’est pas possible, connectez-la à un réseau distinct et renoncez à l’abonnement au cloud.