PhantomMotion : une vulnérabilité majeure dans les systèmes de vidéosurveillance sans fil
Les systèmes de vidéosurveillance sans fil se sont imposés dans les foyers grâce à leur prix accessible et leur installation simple. Leur efficacité repose souvent sur un capteur PIR, chargé de détecter un mouvement et de déclencher l’enregistrement ou l’alerte. Pourtant, une nouvelle étude révèle une faiblesse inattendue : il est possible de simuler un mouvement… sans qu’aucune personne ne soit présente.
PhantomMotion expose cette vulnérabilité. Cette technique utilise un faisceau laser pour chauffer discrètement une zone du champ de détection, créant une signature thermique comparable à celle d’un corps humain. Dès que la température atteint un niveau proche de 37 °C, le capteur PIR réagit comme s’il détectait un vrai déplacement. Le système s’active alors, génère du trafic Wi-Fi et envoie une alerte.
Un faux mouvement créé à distance
L’étude montre que PhantomMotion ne nécessite ni matériel professionnel ni accès au réseau de la caméra. Un smartphone, un module laser et un outil de capture Wi-Fi suffisent. L’attaque fonctionne même lorsque l’attaquant ne connaît pas l’emplacement exact du capteur : un balayage laser méthodique permet d’identifier la zone sensible en corrélant le temps de chauffe et les pics de trafic sans fil.
Les chercheurs ont testé PhantomMotion sur 18 systèmes de sécurité populaires. Les résultats sont frappants :
en moyenne, 12,8 secondes suffisent pour déclencher une alerte, avec un déplacement du point laser d’environ 1,1 mètre. Plus impressionnant encore, l’attaque reste efficace jusqu’à 120 mètres de distance.
Pourquoi cette faille est préoccupante
Cette vulnérabilité ouvre la porte à plusieurs risques. Un individu malveillant pourrait provoquer des alertes répétées pour désensibiliser un propriétaire, ou vérifier à distance si un lieu est surveillé sans jamais entrer dans le champ de la caméra. À l’inverse, une personne souhaitant protéger sa vie privée pourrait détecter une caméra cachée sans se montrer.
Le problème vient du fonctionnement même des capteurs PIR : ils réagissent à une variation de chaleur, pas à une forme humaine. En chauffant une zone précise, un laser peut donc imiter parfaitement cette variation.
Une démonstration qui interroge la sécurité des IoT
PhantomMotion met en lumière une faiblesse structurelle des systèmes de surveillance grand public. Les capteurs PIR, largement utilisés pour leur faible coût, n’intègrent aucune vérification avancée permettant de distinguer une source thermique artificielle d’un véritable mouvement humain.
Les chercheurs rappellent toutefois que l’utilisation de lasers doit respecter des règles strictes de sécurité. Leur étude a été encadrée par un protocole institutionnel, avec des dispositifs de protection adaptés.
Suivez-nous sur notre page Linkedin