Vue lecture

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.

Tapo C675D KIT - 2 objectifs 4K et zéro angle mort

-- Article en partenariat avec Tapo - Contient des liens affiliés --

La Tapo C675D KIT de TP-Link est une caméra de surveillance solaire qui vient de sortie, avec un truc qu'on voit rarement à ce tarif : 2 objectifs 4K.

Un grand-angle fixe qui surveille toute la scène, et un second monté sur rotule qui zoome et suit l'action tout seul comme un grand. J'avais déjà testé sa petite sœur, la Tapo C665G , et là j'avoue que Tapo monte clairement d'un cran.

Les deux objectifs, c'est malin parce que sur une caméra motorisée classique, dès qu'elle pivote pour suivre quelqu'un, elle perd le reste du champ. Ainsi, pendant qu'elle zoome sur le mec qui crochète votre portail, votre bagnole sort du cadre et son complice peut se barrer avec... Alors qu'ici, non. Le grand-angle reste planté sur ses 169° et filme tout en permanence, tandis que le téléobjectif part chasser le mouvement en tournant sur 360°. Et tout ça est diffusé sur deux flux 4K séparés.

Et le mieux, c'est que les deux bossent ensemble puisque c'est le grand-angle qui fait le boulot de détection : il repère le mouvement et envoie le téléobjectif se verrouiller dessus pour le suivre en temps réel. Tapo appelle ça le suivi intelligent synchronisé, moi j'appelle ça "la caméra qui te colle aux cul". Les deux capteurs crachent du vrai 4K (3840 x 2160), le grand-angle ouvre à 169° et le téléscopique à 66° avec un zoom x5 pour aller lire une plaque ou reconnaitre un visage au fond du jardin.

Pour l'installation, rien de sorcier comme d'hab avec Tapo. Le panneau solaire doit être orienté plein sud sinon il prend pas assez de lumière, et la caméra se fixe avec des vis. Y'a 9 vis et 9 chevilles dans la boîte, plus un gabarit autocollant pour percer droit. La recharge passe également par un port USB-C planqué sous une trappe étanche, et comme le câble entre le panneau et la caméra fait 3,6 mètres, vous pouvez vraiment placer le panneau looooiiin si la caméra est à l'ombre. Et surtout, les ports et les boitiers sont étanches (IP65), donc y'a pas de flotte qui rentre.

Côté énergie, y'a une batterie de 10000 mAh et un panneau solaire de 4,5 W donc il faut environ 90 minutes de soleil direct par jour pour tenir la journée, et jusqu'à 3 mois d'autonomie sur une charge si jamais le ciel fait la gueule. Avec les longues journées d'été et la canicule permanente qu'on se prend, zéro souci donc de ce côté.

Reste à voir cet hiver ce que ça donne, comme d'hab avec le solaire.

Petite différence quand même avec la C665G, ici, pas de 4G. C'est uniquement du WiFi bi-bande 2.4 et 5 GHz. Donc faut avoir du réseau là où vous la posez. C'est donc un peu moins polyvalent pour le fond du jardin, mais pour surveiller une maison, une cour ou une allée, le WiFi suffit largement et ça vous évitera de bloquer un forfait data pour ça.

Et pour le mode nuit, vous avez le choix : infrarouge classique en 850 nm pour le noir total, ou la vision nocturne couleur grâce aux projecteurs intégrés. Comme ça, plus besoin de deviner si c'est un chat noir ou un tout petit cambrioleur en sweat à capuche. La détection IA distingue également les personnes, les animaux et les véhicules, et ces fonctionnalités sont gratuites et sans abonnement, puisque tout est traité directement en local sur la caméra. Vous pouvez aussi définir des zones d'activité, genre surveiller l'allée mais ignorer la rue pour pas vous faire alerter à chaque voiture qui passe (puis de toute façon, c'est illégal de filmer la rue).

Pour le stockage, vous pouvez y glisser soit une carte microSD jusqu'à 512 Go en local, soit opter pour le cloud Tapo Care si vous préférez. Le mode capture 24/7 permet aussi à la caméra d'enregistrer en continu par petits intervalles pour ne pas vider la batterie, mais dès qu'elle détecte un truc qui gigote, elle passe en mode film complet. Y'a aussi l'audio bidirectionnel pour engueuler le livreur à distance, une sirène et des lumières d'alarme rouge et bleu pour faire fuir les curieux et le tout encaisse de -20°C à 45°C. Ah et j'oubliais, c'est compatible Alexa et Google Home, et tout est piloté depuis l'appli Tapo.

Pour les bidouilleurs, sachez que comme souvent sur les Tapo sur batterie, y'aura pas de flux RTSP à récupérer. C'est vraiment dommage et je comprends pas pourquoi les constructeurs n'en proposent pas d'office (ah oui, leur abonnement, c'est vrai...). Donc si vous vouliez la brancher à un Frigate ou à Motion sous Linux pour la gérer avec vos autres caméras, bah c'est mort. Par contre sur vos caméras qui exposent du RTSP, Cameradar reste très pratique pour tester si vos flux sont bien sécurisés, je vous invite à tester !

Bref, la C675D KIT, c'est la version "je veux tout voir et tout savoir" de la caméra solaire avec un vrai double objectif qui règle enfin ce défaut des caméras motorisées. Sans parler du panneau solaire qui vous évitera de tirer des câbles partout comme un électricien qui aurait bu trop de café.

Vous pouvez la trouver ici si ça vous tente !

OBSBOT AI Cameras Are on Sale for Prime Day 2026, and the Tiny 2 Webcam Just Hit Its Lowest Price Ever

There is a camera brand that has shown up at International Broadcasting Conference, partnered with the Esports World Cup as an official camera provider, earned Editor’s Choice awards from music and DJ publications, and landed in the desk setups of remote workers, streamers, worship AV teams, and solo creators, all while keeping a relatively low profile compared to the legacy names in the category. OBSBOT, founded in 2016, has built its reputation the way durable hardware brands tend to: by making things that keep working, and keep getting better. Reviewers have consistently noted that firmware updates meaningfully improve OBSBOT cameras after purchase, which is a rarer quality in hardware than it should be.

Prime Day 2026 will put seven OBSBOT cameras on sale simultaneously, running through June 29 across Amazon and the OBSBOT official store. The lineup covers three distinct use cases: the Meet series for plug-and-play video calls and casual streaming, the Tiny series for creators and hybrid workers who want PTZ tracking at their desk, and the Tail 2 for anyone running a live production setup that used to require a full crew. The discounts range from around 15% on the newer Tiny 3 series to over 30% on the Tiny 2, which arrives at a price point that has not been seen before. Discounts hit on June 23rd – here is the full breakdown.

Click Here to Buy.

OBSBOT Tail 2 ($1088) – The AI Camera That Puts a Production Crew on Your Tripod

The OBSBOT Tail 2 is what happens when a camera is designed to solve the most persistent problem in solo and small-team video production: the need for a human operator. This is the company’s flagship live production camera, built around an advanced AI tracking system and a three-axis gimbal that does more than just pan and tilt. It is the world’s first PTZR (Pan-Tilt-Zoom-Roll) camera, with the Roll being a new game-changing feature that allows the entire lens and sensor assembly to rotate 90 degrees. This delivers true, uncropped vertical video, a clever piece of engineering that makes it immediately relevant for anyone creating content for mobile-first platforms. It pairs that mechanical intelligence with serious imaging hardware, including a large 1/1.5-inch CMOS sensor, a 5x optical zoom, and the ability to capture sharp 4K footage at a fluid 60 frames per second.

What separates the Tail 2 from a high-end webcam is how it fits into a professional workflow. It comes equipped with a full suite of broadcast-standard ports, including NDI, SDI, HDMI, and Ethernet, allowing it to integrate directly with live switching hardware and streaming software with minimal latency. For solo operators, the system works with gesture controls for hands-free adjustments, and a dedicated app provides granular remote control over framing and movement. This combination of broadcast-grade connectivity and intelligent automation is what makes the Tail 2 so versatile. It is equally at home as the primary camera for a DJ’s live stream, a dynamic tracking camera for a church service, or part of a multi-camera setup for a corporate event.

Why We Recommend

At its core, the Tail 2 is an investment in workflow efficiency. Tech reviewers have consistently framed it as a tool that can pay for itself, replacing the cost and complexity of hiring a camera operator for recurring shoots. The Prime Day discount reinforces that value proposition, knocking $200 off the price and bringing the non-NDI version down to $999. Breaking the thousand-dollar barrier is significant, shifting the Tail 2 from a niche professional tool to a much more accessible option for serious creators, small businesses, and organizations looking to upgrade their production quality. For anyone who needs cinematic, automated camera movement without a dedicated crew, this is the camera to get.

Click Here to Buy: $1088 $1298 ($210 off). Prime Day Deal starts on 23rd June 2026!

OBSBOT Tiny 3 ($296) – A Palm-Sized PTZ Camera with Full-Sized Ambition

The OBSBOT Tiny 3 is the company’s answer to a simple question: how much professional-grade technology can you fit into a webcam that is smaller than a cup of coffee? The answer, it turns out, is quite a lot. This is the flagship of the Tiny series, designed for creators and hybrid workers who want the absolute best imaging and tracking performance in a desk-friendly format. It starts with a massive 1/1.28-inch CMOS sensor, which is exceptionally large for a webcam and allows it to capture more light for a cleaner, more detailed 4K image. That sensor is paired with a pan-tilt-zoom system that moves with near-silent precision, keeping the subject perfectly framed.

Where the Tiny 3 really shows its intelligence is in the software and processing that drive its hardware. It inherits the refined AI Tracking 2.0 from the larger Tail 2, making its auto-framing and subject tracking remarkably smooth and reliable. It also features Gesture Control 2.0, allowing users to manage zoom and tracking with simple hand signals, a feature that feels genuinely useful in practice. For streamers and power users, the native integration with Elgato’s Stream Deck is a critical addition, bringing PTZ controls directly into their existing workflow. OBSBOT even added creative tools like virtual avatars and improved the audio with a five-mode stereo microphone system, rounding out a feature set that feels both powerful and polished.

Why We Recommend

The Tiny 3 is the pick for anyone who prioritizes having the latest and most refined technology on their desk. While other models in the lineup offer steeper discounts, the Prime Day price drop brings this premium, current-generation flagship under the $300 mark. This is the camera for the user who wants the best sensor, the most advanced AI tracking, and the tightest software integration OBSBOT offers in a webcam. It represents the peak of the Tiny series, and this is the most affordable it has been since its launch.

Click Here to Buy: $296 $349 ($53 off). Prime Day Deal starts on 23rd June 2026!

OBSBOT Tiny 3 Lite ($169) – The Same Intelligence with a Focus on Value

For many users, the appeal of the flagship Tiny 3 lies in its advanced AI brain, not necessarily its top-of-the-line sensor. OBSBOT created the Tiny 3 Lite for exactly that audience. This camera is built on the same intelligent foundation as its more expensive sibling, delivering the same seamless AI Tracking 2.0, responsive Gesture Control 2.0, and sharp 4K resolution. It is, for all practical purposes, the same smart user experience. The key difference, and the reason for its more accessible price, is the move to a slightly smaller 1/2-inch CMOS sensor. This strategic trade-off makes the Tiny 3 Lite an incredibly compelling option for anyone who works in a space with reasonably good lighting.

In practice, the Tiny 3 Lite feels nearly identical to the flagship during everyday use. It keeps you perfectly in frame during video calls, responds to hand gestures to zoom in on a whiteboard, and integrates with the same powerful OBSBOT software suite, including Stream Deck support. It also features a slightly different physical design with an integrated stand, making it incredibly simple to set up on any monitor or desk. By preserving the core software and AI features that define the Tiny 3 experience, OBSBOT has distilled the product down to its most important essentials, creating a camera that performs well above its price point.

Why We Recommend

The Tiny 3 Lite is the pragmatic choice in the Tiny 3 series. It offers access to OBSBOT’s latest-generation AI tracking and software ecosystem for a fraction of the flagship’s cost. The Prime Day deal, which brings the price down to $169, makes it one of the best values in the entire lineup for a current-generation product. If you want the smartest PTZ webcam on the market but do not need the absolute best low-light performance that the Tiny 3’s larger sensor provides, the Lite version is the smarter purchase. It delivers the features that matter most without the premium price tag.

Click Here to Buy: $169 $199 ($30 off). Prime Day Deal starts on 23rd June 2026!

OBSBOT Tiny 2 ($229) – The Champion Webcam Now Available at Under $250

Before the Tiny 3 arrived, the Tiny 2 was OBSBOT’s undisputed flagship desk camera, and it remains a formidable piece of hardware. This is the camera that set the standard for what a premium AI webcam could be, pairing a huge 1/1.5-inch CMOS sensor with exceptionally fast autofocus and reliable AI tracking. That large sensor is a critical detail, as it gives the Tiny 2 excellent low-light capabilities and a natural depth of field that rivals even some of the newer models in the lineup. It established the features that now define the Tiny series, including effective auto-zoom, dynamic gesture controls, and even voice commands for a completely hands-free experience.

The Tiny 2 is a proven workhorse. It has benefited from years of firmware updates that have refined its performance, making it a stable and dependable choice for streamers, content creators, and professionals who need consistently great video. While it may not have every single new software feature from the Tiny 3 series, its core performance remains top-tier. The image quality from its large sensor and premium lens system is still a benchmark for the category, delivering a crisp, professional look that cheaper webcams simply cannot match. For many users, this level of raw performance is far more important than the latest software gimmicks.

Why We Recommend

This is arguably the single best deal of the entire Prime Day event. The Tiny 2 is seeing a massive price drop of $100, bringing it down to just $229, a discount of over 30% and its lowest price ever. This is a rare opportunity to get a former flagship product with a best-in-class sensor for the price of a mid-range webcam. For anyone prioritizing pure image quality over having the absolute newest model, the Tiny 2 offers a value proposition that is impossible to ignore. It is the smartest purchase for the performance-focused buyer.

Click Here to Buy: $229 $329 ($100 off). Prime Day Deal starts on 23rd June 2026!

OBSBOT Tiny 2 Lite ($129) – The Smartest Way to Get into AI-Powered PTZ

The OBSBOT Tiny 2 Lite takes the intelligent core of the celebrated Tiny 2 and packages it into an even more accessible and affordable design. This camera is built for the user who wants to step up from a static webcam to the world of AI-powered pan, tilt, and zoom without paying a premium. It delivers the essential features that made its bigger brother a success, including reliable AI tracking with auto-zoom, crisp 4K resolution, and multipurpose tracking modes that can follow a subject’s whole body or focus just on their head and shoulders. It is a streamlined experience focused entirely on delivering smart, automated framing.

While it does not have the same massive sensor as the standard Tiny 2, the Tiny 2 Lite still produces a clean, professional image that is a significant upgrade over nearly any built-in laptop camera or budget webcam. The real magic, however, is in the motion. For presenters, educators, or streamers who move around, the camera’s ability to smoothly follow them is a game-changer. It also includes useful features like preset PTZ positions, allowing users to instantly switch between a tight shot and a wide view with the press of a button, a function typically found on much more expensive hardware.

Why We Recommend

This is the ultimate entry point into intelligent webcams. With the Prime Day discount bringing its price down to just $129, the Tiny 2 Lite is in a class of its own. At that price, it competes with high-end static webcams while offering a full suite of AI and PTZ features that its rivals lack. For anyone who has been frustrated by fixed-frame cameras but felt priced out of the AI tracking market, this deal removes that barrier. It offers the most important features of the Tiny 2 generation at a cost that makes it an easy and obvious upgrade.

Click Here to Buy: $129 $179 ($50 off). Prime Day Deal starts on 23rd June 2026!

OBSBOT Meet 2 ($99) – The 4K Webcam That Makes Every Meeting Smarter

The OBSBOT Meet 2 is designed to solve a very specific, modern problem: making you look and sound as professional as possible on a video call with the least amount of effort. This is not a complex PTZ camera for creators; it is a sleek, intelligent webcam for the hybrid worker, the remote professional, and anyone who spends their day in virtual meetings. It delivers a sharp, vibrant 4K image at 30 frames per second, providing a significant leap in clarity over standard-issue laptop cameras. Its compact and lightweight design allows it to sit discreetly atop any monitor or laptop, instantly elevating the look of a desk setup.

The real intelligence of the Meet 2 lies in its automation. It features fast, reliable AI-powered auto-framing that keeps you perfectly centered in the shot, even if you shift or lean. It can also widen its frame to include a second person, making it ideal for small group meetings in a huddle room. This is paired with a fast autofocus system that keeps the image sharp and professional. The setup is pure plug-and-play; you connect it via USB, and it works seamlessly with Zoom, Microsoft Teams, Google Meet, and other major platforms without requiring any complicated software or drivers. It is designed to be an invisible upgrade that simply makes you look better.

Why We Recommend

The Meet 2 hits the sweet spot between performance and simplicity. It offers two of the most important features from high-end cameras, 4K resolution and AI auto-framing, in an accessible, user-friendly package. The Prime Day deal makes its value proposition even stronger, dropping the price to just $99. For under a hundred dollars, it provides a massive upgrade in video quality and intelligence for any professional. This is the ideal camera for anyone who wants to improve their virtual presence without adding the complexity of a PTZ system.

Click Here to Buy: $99 $129 ($30 off). Prime Day Deal starts on 23rd June 2026!

OBSBOT Meet SE ($58) – The Easiest and Most Affordable Upgrade for Any Setup

Sometimes, the best upgrade is the one you do not have to think about. The OBSBOT Meet SE is built on that principle. It takes the single most useful intelligent feature from its more expensive siblings, AI-powered auto-framing, and delivers it in a simple, incredibly affordable package. This camera is designed for anyone and everyone who is still using a basic, fixed-frame webcam and wants a better experience without any complexity. It captures clean, clear 1080p video and uses its AI brain to make sure you are always centered in the frame, looking professional and engaged.

The Meet SE is a masterclass in thoughtful, essentialist design. It is a true plug-and-play device that works the moment you connect it, with no drivers to install or complicated settings to configure. It even includes a physical privacy cover, a simple but crucial feature that provides peace of mind for remote workers and students. While its primary focus is on effortless video calls, OBSBOT also included a surprisingly capable 1/2.8-inch stacked CMOS sensor, which gives it better-than-expected image quality and even allows for high frame rate capture for smooth slow-motion effects, a rare bonus in a webcam at this price.

Why We Recommend

This is the definitive “no-brainer” upgrade. With its Prime Day price of just $58, the OBSBOT Meet SE is likely cheaper than the keyboard on your desk, yet it delivers a feature that was, until recently, reserved for premium cameras. It completely eliminates the problem of awkward, off-center framing on video calls for less than the cost of a nice dinner out. For students, remote workers, or anyone who simply wants to look better in their daily meetings without spending a lot of money or time, there is no better value to be found in this entire sale.

Click Here to Buy: $58 $69 ($11 off). Prime Day Deal starts on 23rd June 2026!

The post OBSBOT AI Cameras Are on Sale for Prime Day 2026, and the Tiny 2 Webcam Just Hit Its Lowest Price Ever first appeared on Yanko Design.

DIY Raspberry Pi Camera Turns Your Photos into Glitch Art, and the Results Are Incredible

You currently have two options if you want to apply effects and filters to your photos: use an app that will inevitably harvest your data for training their AI model (we’re watching you, Instagram), or actually edit your photos manually, which requires time, software subscriptions, and the patience of a saint. Reddit user sharkbiscuit101 unlocked a third option, and it involves a Raspberry Pi 4, a rotary encoder, a gamepad, and a frankly unreasonable amount of ingenuity. The build produces glitch photography on the pixel level, in real time, through a custom script running entirely offline on hardware you can source yourself. No cloud upload, no terms of service, and crucially, no algorithm deciding what your creative output should look like. This is your camera, running your parameters, answering to nobody.

The camera itself works exactly how you’d want a dedicated glitch tool to work. Hit the shutter button, but before you do, twist the rotary dial to control how aggressively the Pi’s script mangles the RGB channels of whatever you’re pointing at. The result lands somewhere between a corrupted memory card and a fever dream, and the specific character of the glitch is entirely yours to tune through on-screen sliders before you commit to a shot. A small preview screen shows you the live feed so you can watch the image fall apart in real time, which is exactly as satisfying as it sounds. The rotary encoder also handles preset saves, so when you find a combination of settings that produces something genuinely beautiful and broken, you can lock it in and recall it later.

Designer: sharkbiscuit101

The physical design is wonderfully unashamed about what it is. A transparent acrylic chassis sandwich holds the Pi 4 and an Arducam module at the center, with a small HDMI screen on the front face showing the preview, and a Adafruit gamepad breakout board mounted beside it for navigation. A Sharge battery pack, the rectangular kind you’d find at Amazon, clamps to the side and handles power duties. Since the Pi 4 has no dedicated power button, the battery’s own switch becomes the on-off toggle, which is one of those practical workarounds that somehow feels more elegant than a purpose-built solution. Brass standoffs hold the whole sandwich together, giving the build a satisfying mechanical solidity that belies its component-bin origins.

Sharkbiscuit101 hasn’t released the script or component list publicly yet, though the Reddit thread is essentially one long, enthusiastic demand that they do exactly that. The sample images they’ve posted, saturated cascades of cyan and red over a person’s silhouette, a park scene dissolved into chromatic noise, a building rendered in kaleidoscopic symmetry, make a compelling case for why people want to replicate this. When the files do drop, expect a flood of variations, because this is precisely the kind of open-ended hardware that the maker community will run with in seventeen different directions simultaneously.

The post DIY Raspberry Pi Camera Turns Your Photos into Glitch Art, and the Results Are Incredible first appeared on Yanko Design.

Quatre énormes botnets démantelés par les autorités américaines

Les autorités américaines viennent de démanteler quatre réseaux de botnets qui contrôlaient plus de trois millions d'appareils dans le monde. Caméras, routeurs Wi-Fi, enregistreurs vidéo : le matériel du quotidien servait à lancer des attaques DDoS records, dépassant les 30 térabits par seconde.

Pas un petit réseau

Le bureau du procureur fédéral de l'Alaska a annoncé l'opération le 19 mars. Le département de la Justice américain, le FBI et le Defense Criminal Investigative Service ont travaillé avec les autorités canadiennes et allemandes pour mettre hors service quatre botnets : Aisuru, KimWolf, JackSkid et Mossad.

Des domaines et des serveurs virtuels hébergés aux États-Unis ont été saisis, et une vingtaine d'entreprises tech ont aidé à neutraliser l'infrastructure. Les appareils infectés étaient des caméras de surveillance, des enregistreurs vidéo et des routeurs Wi-Fi grand public, le genre d'équipements que des millions de foyers utilisent sans trop se soucier des mises à jour de sécurité.

Des attaques records et le Pentagone parmi les cibles

Côté chiffres, plus de trois millions d'appareils compromis dans le monde, dont des centaines de milliers aux États-Unis. Aisuru, le plus actif, a lancé plus de 200 000 commandes d'attaque DDoS depuis son apparition fin 2024.

JackSkid en a envoyé plus de 90 000, KimWolf environ 25 000 et Mossad un millier. Le réseau du département de la Défense américain figurait parmi les cibles, ce qui donne une idée du niveau de la menace. Mi-2025, les attaques ont atteint des volumes jamais vus, avec un pic à 31,4 térabits par seconde mitigé par Cloudflare en novembre.

Les victimes signalent des pertes en dizaines de milliers de dollars, et encore, on parle de ceux qui ont porté plainte.

Un Canadien de 22 ans et un Allemand de 15 ans dans le viseur

Un Canadien de 22 ans a été identifié comme opérateur principal de KimWolf, une variante d'Aisuru capable de se propager sur un réseau interne dès qu'un seul appareil est compromis.

Un ado Allemand de 15 ans est suspecté d'avoir piloté un autre de ces botnets. Sauf que voilà, ces réseaux ne servaient pas qu'à leurs créateurs. Les opérateurs vendaient l'accès aux appareils piratés à d'autres criminels, qui pouvaient lancer leurs propres attaques DDoS sans aucune compétence technique.

Du cybercrime as a service, une sorte de location de puissance de frappe numérique accessible à n'importe qui avec quelques centaines de dollars.

Un ado de 15 ans qui pilote un botnet capable de mettre à genoux des infrastructures militaires, c'est quand même révélateur du problème de fond. La facilité d'accès à ces outils est grotesque.

Le démantèlement est une bonne nouvelle, mais tant que des millions de routeurs et de caméras resteront branchés avec leurs mots de passe par défaut, d'autres prendront le relais. Bref, la vraie faille, elle est dans votre salon.

Source : Wired

Strix - Fini la galère des caméras IP sans RTSP

Vous avez des vieilles caméras de surveillance chinoises qui prennent la poussière parce qu'il vous est impossible de trouver leur flux vidéo ? Y'a pas de RTSP, y'a pas de doc, y'a juste un pauvre port 80 ouvert et une app Android en Mandarin qui est périmée depuis 2021 ?

JE VIENS VOUS SAUVER LES ZAMIS ! Hé oui, grace à Strix qui est capable de tester 102 787 patterns d'URL en 30 secondes et qui vous sort miraculeusement le bon flux vidéo qui marche, avec la config Frigate prête à être collée.

En fait, le principe est simple. Vous lancez un conteneur Docker, vous entrez l'IP de votre caméra et l'outil bombarde en parallèle toutes les URL connues pour ce type de matos. RTSP sur le port 554, MJPEG sur le 8080, snapshots JPEG sur le 80... et 30 à 60 secondes plus tard, vous avez la liste des flux qui répondent avec résolution, FPS et codec H.264 ou H.265.

L'installation tient en une ligne et l'interface web tourne sur le port 4567. Vous entrez l'IP, le login si besoin, et éventuellement le modèle de la caméra IP pour affiner la recherche. Après, même sans modèle, Strix se débrouille avec les 206 patterns les plus courants (sur les 102 787 de la base complète) + la découverte ONVIF . Du coup ça trouve un flux sur à peu près n'importe quoi, du Dahua au Foscam en passant par les marques fantômes d'AliExpress.

Un autre truc vraiment sympa aussi , c'est la génération de config. Vous collez votre fichier frigate.yml existant, même avec 500 caméras dedans, et l'outil ajoute proprement la 501ème sans rien casser ! Il configure automatiquement le flux HD 1080p pour l'enregistrement et le flux 640x480 pour la détection d'objets, le tout passant par go2rtc . Résultat, la conso CPU de Frigate peut carrément passer de 30% à 8%.

Et surtout, l'histoire derrière est assez dingue. Le dev derrière ce projet avait des vieux NVR chinois de 2016 qu'il voulait connecter à Frigate. Après 2 ans à tester toutes les URL possibles... rien. Snif... Tous les ports fermés sauf le 80. À vrai dire, ces machins ne parlaient même pas un protocole connu. Alors a fini par faire tout ce que fait un vrai bidouilleur quand il est énervé : Sniffer le trafic de l'app Android avec Wireshark !

Et grâce à cela, il a découvert un truc baptisé BUBBLE, tellement obscur que ça n'existe nulle part sur Google ! Cela lui a permis de construire une base de 67 288 modèles issus de 3 636 marques, des Hikvision jusqu'aux trucs sans nom d'AliExpress.

Et quand y'a pas de RTSP du tout (ce qui arrive souvent avec le matos chinois pas cher), l'outil se rabat sur les snapshots JPEG et les convertit en vrai flux vidéo via FFmpeg. C'est pas aussi clean qu'un vrai stream H.264 (et ça saccade un peu à 10 FPS), mais c'est largement suffisant pour de la détection de personnes ou de bagnoles.

Après, sachez le, ça ne marche qu'avec les caméras présentes sur votre réseau local. Les caméras cloud (Blink, Ring, Xiaomi) ne sont pas supportées. Et aussi, comme on n'est jamais trop prudent d'ailleurs, si vous branchez ce genre de vieux matos chinois, mettez-les dans un VLAN isolé sans accès Internet parce que côté sécurité, c'est la fête du slip sur ce genre de matos : Backdoors, mots de passe en clair sur le port 80, appels serveurs en Chine... va savoir ce qu'elles font quand personne ne regarde.

Strix a même tapé dans l'oeil du développeur de Frigate lui-même, qui a invité l'auteur à soumettre une PR officielle pour l'intégrer dans la doc officielle. Hé ben quelle classe ! Ah et y'a aussi un add-on Home Assistant en beta si vous êtes branchés domotique (pas forcément stable, le soft sous Docker reste plus fiable). Strix est écrit en Go, sous licence MIT, y'a une image Docker de 80-90 Mo sur Alpine Linux, avec FFmpeg et FFprobe embarqués, et ça tourne comme un charme sur AMD64 comme sur ARM64 (votre Raspberry Pi 4 suffit).

Bref, allez tester ça, car y'a clairement de quoi sauver pas mal de matos de la poubelle !

120 000 caméras IP piratées en Corée du Sud

Si vous avez des caméras connectées chez vous et que vous vous baladez régulièrement, comme moi, en tenue d’Adam (ou d’Ève), j’ai une petite histoire qui va peut-être vous faire réfléchir. La police sud-coréenne vient d’arrêter 4 personnes qui auraient piraté plus de 120 000 caméras IP présentes dans des domiciles et des commerces pour en extraire des vidéos à caractère sexuel. Et oui, les gens filmés n’en savaient évidemment rien du tout.

Les lieux ciblés sont des maisons privées, des salles de karaoké, un studio de pilates et même… un cabinet de gynécologue. Gloups… Vous imaginez le truc ? Vous allez vous faire examiner chez le médecin et paf, y’a un mec de l’autre côté de la planète qui revend la vidéo sur un site louche. C’est moche.

D’après l’Agence nationale de police sud-coréenne, les quatre suspects agissaient indépendamment les uns des autres. L’un d’eux aurait piraté 63 000 caméras à lui seul et produit 545 vidéos qu’il a revendues pour environ 25 000 euros en cryptomonnaies. Un autre a compromis 70 000 caméras, extrayant 648 vidéos vendues une quinzaine de milliers d’euros au total. 3 acheteurs qui ont visionné ces vidéos ont également été arrêtés.

Mais comment ont-ils fait pour pirater autant de caméras ? Hé bien, la technique est d’une banalité affligeante. Ils ont tout simplement déviné les mots de passe trop simples ou par défaut des caméras . Vous savez, le fameux “admin/admin” ou “123456” que personne ne change jamais.

Bon, moi je vous rassure, je peux me balader tranquillement en calbut ou tout nu chez moi sans craindre de finir sur un site coréen douteux. J’ai une astuce toute bête : mes caméras sont branchées sur des prises connectées qui sont reliées à mon système d’alarme. Quand j’active l’alarme en partant, les caméras s’allument automatiquement. Et quand je suis chez moi et que l’alarme est désactivée, les caméras sont physiquement coupées de l’électricité.

Pas de jus, pas de vidéo, pas de risque.

Même le hacker le plus balèze du monde ne peut pas pirater une caméra éteinte. Après, si quelqu’un arrive à hacker mon système d’alarme, là on passe à un autre niveau… mais j’ai de la bonne came côté sécurité, je suis plutôt serein.

Les autorités sud-coréennes ont prévenu individuellement les victimes et leur ont conseillé de changer leurs mots de passe immédiatement. Elles rappellent aussi les bonnes pratiques telles que des mots de passe complexes avec majuscules, minuscules, chiffres et caractères spéciaux, et surtout du WPA2 ou WPA3 pour le WiFi (le vieux WEP c’est open bar pour les hackers).

Voilà, si vous avez des caméras IP chez vous, prenez deux minutes pour vérifier vos mots de passe et si vous êtes du genre pudique, pensez à la solution des prises connectées qui coupent l’alimentation quand vous êtes à la maison. C’est simple, c’est radical, et ça vous évitera de devenir la star involontaire d’un site de “sexploitation” à l’autre bout du monde.

Ban-Rays - Les lunettes qui détectent les smart glasses

De nos jours, quand un mec chelou avec des lunettes cheloues nous fixe, on ne sait plus si c’est parce qu’il nous trouve irrésistible ou s’il est en train de balancer notre tronche à une IA pour savoir qui on est. Bon, pour vous, la question se pose peut-être moins, mais vous voyez l’idée ^^.

Heureusement, pour lutter contre ça, y’a maintenant un projet open source pour détecter ces petits curieux équipés de Ray-Ban Meta ou d’autres lunettes-caméras. Ce projet s’appelle Ban-Rays (jeu de mots avec “banned”, roh roh roh) et le but c’est de créer des lunettes capables de repérer les smart glasses équipées de caméras.

Et pour arriver à cela, le dev derrière ce projet utilise deux approches complémentaires.

La première, c’est l’approche optique basée sur un principe physique assez marrant. En effet, mes capteurs CMOS des caméras ont la particularité de renvoyer la lumière infrarouge directement vers sa source. C’est ce qu’on appelle l’effet “cat-eye” ou rétro-réflectivité, du coup, en balançant des impulsions IR vers une paire de lunettes suspecte et en analysant le signal réfléchi, on peut théoriquement détecter la présence d’une caméra. Et les capteurs produisent des pics de signal bien nets et rapides, contrairement aux surfaces réfléchissantes classiques qui génèrent des ondes plus longues.

Pour le moment, les tests avec les Ray-Ban Meta montrent des résultats un peu inconsistants à courte distance (genre 10 cm), mais le principe est là et ça s’améliore. Ah oui et le matos utilisé c’est un Arduino Uno, des LEDs infrarouges (940nm et 850nm), une photodiode et un transistor. Rien de bien méchant donc niveau budget.

Et la deuxième approche, c’est côté réseau avec la détection Bluetooth Low Energy. Les Ray-Ban Meta utilisent un identifiant fabricant spécifique (0x01AB pour Meta) et un Service UUID bien particulier (0xFD5F). Le souci c’est que pour le moment, ça ne détecte les lunettes que pendant l’allumage ou le mode appairage. Pour une détection continue pendant l’utilisation normale, faudrait du matos plus costaud genre modules nRF pour sniffer les paquets CONNECT_REQ. Mais bon, ça viendra puisque c’est dans la roadmap du projet.

Alors oui, vous allez me dire que les Ray-Ban Meta ont une petite LED qui s’allume quand elles filment, donc c’est pas discret. En théorie oui auf que cette LED est tellement minuscule que la Data Privacy Commission irlandaise a carrément remis en question son efficacité comme protection de la vie privée. Et surtout, un bidouilleur propose maintenant de désactiver cette LED pour une soixantaine de dollars. Meta a bien prévu une protection qui empêche les lunettes de fonctionner si on couvre la LED avec du scotch, mais le gars a trouvé comment contourner ça et sa liste de clients s’allonge…

Et l’autre truc que j’ai remarqué avec ces lunettes connectées, c’est qu’elles se déclenchent tout le temps pour tout et n’importe quoi. Comme ça écoute en permanence pour répondre aux commandes vocales, impossible d’avoir une conversation normale sans que le machin réagisse à un mot qui ressemble vaguement à “Hey Meta”. C’est encore pire que Siri ou Alexa qui font déjà des déclenchements intempestifs. Perso, c’est pour ça que je ne veux pas de ce genre de lunettes, même si je reconnais que c’est pratique pour photographier ou filmer des choses (dans le cadre de mon boulot hein…)

Et les inquiétudes sont d’autant plus justifiées qu’une étude de 2024 a montré qu’en combinant des Ray-Ban Meta hackées avec de la reconnaissance faciale en temps réel, on pouvait identifier des inconnus dans la rue. Encore plus récemment, l’Université de San Francisco a dû alerter ses étudiants après qu’une personne mystérieuse ait utilisé ces lunettes pour filmer des femmes sur le campus et partager les vidéos en ligne. Sympa l’ambiance de parano.

Bref, si vous êtes inquiet par ça (ou juste soucieux de votre vie privée), le projet Ban-Rays est sur GitHub avec tout le code en C++, Python et un peu de C. C’est encore expérimental mais les deux approches sont prometteuses et si vous voulez contribuer, y’a plein de trucs à améliorer comme les patterns de balayage IR, la fusion des données multi-longueurs d’onde, l’interrogation active BLE…

Source

Rooter une caméra de sécurité avec un MP3

L’histoire du jour est signée Luke M, un hacker qui a découvert comment rooter une caméra avec… du son !

L’appareil en question est une caméra chinoise de la marque Yi qui utilise une fonctionnalité appelée “Sonic Pairing” pour faciliter la configuration WiFi. Comme ça, au lieu de galérer à taper votre mot de passe WiFi sur une interface minuscule avec vos gros doigts boudinés, vous jouez simplement un petit son depuis votre téléphone et c’est ce son qui contient votre clé WiFi encodés en modulation de fréquence. La caméra écoute, décode, et se connecte.

Magique, non ?

Sauf que cette fonctionnalité marquée en “beta” dans l’app Yi IoT contient deux bugs magnifiques : une stack overflow local et un global overflow. En gros, en fabriquant un fichier audio malveillant avec les bons patterns, Luke a pu injecter du code arbitraire dans la caméra, ce qui lui permet d’obtenir un shell root qui se lance via la commande telnetd avec les identifiants par défaut. Tout ça, sans accès physique… juste la lecture d’un wav ou d’un MP3.

Pour arriver à ses fins, Luke a utilisé Frida , un framework de hooking que j’adore, capable d’intercepter les fonctions natives de l’app. Cela lui a permis de remplacer les données légitimes attendues par l’app par son propre payload.

Le premier bug (stack overflow) n’étant pas suffisant seul, Luke a dû utiliser un autre bug ( un out-of-bounds read via DOOM ) pour leaker un pointeur et contourner l’ ASLR . Mais le second bug (global overflow) est bien plus intéressant puisqu’il lui permet directement de faire une injection de commande via system() lors du pairing, sans avoir besoin d’autre chose.

Voici la waveform utilisée par le second exploit

Et comme la chaîne que vous pouvez envoyer via le son peut faire jusqu’à 128 bytes c’est largement suffisant pour un telnetd ou n’importe quelle commande shell. Notez que pour que l’exploit marche, le bind_key doit commencer par ‘CN’, ce qui force un path exploitable et, en bonus fait causer la caméra en chinois ^^.

Après faut savoir que ce hack amusant ne fonctionne que si la caméra n’est pas encore connectée au cloud. Donc c’est pas très utile pour attaquer des caméras déjà déployées mais ça illustre bien le problème de tout cet IoT pas cher avec des tas de features “pratiques” comme ce “Sonic Pairing” qui finissent par être catastrophique dans la pratique.

Voilà… si vous voulez les détails techniques complets avec les waveforms et le code d’exploit, foncez lire ça sur Paged Out! #7 .

Boitiers CPL - C'est l'heure de tester le Kit Multiroom Devolo Magic 2 WiFi 6 Next

– Article en partenariat avec Devolo –

J’avais besoin de WiFi dans un local technique pour brancher des caméras de surveillance parce que mes routeurs sont à l’opposé de la zone à couvrir et finalement la solution la plus fiable et la moins prise de tête que j’ai trouvé, ça a été de passer par mes bons vieux câbles électriques.

Devolo m’a donc envoyé ses Magic 2 WiFi 6 Next en test (Le multiroom kit avec trois adaptateurs), et je les ai vraiment trouvé pas mal. Le kit se compose d’une prise LAN que vous branchez à votre routeur en ethernet, et de deux prises WiFi que vous placez là où vous voulez chez vous. Et le tout communique via votre réseau électrique (technologie CPL ou powerline pour les intimes), et diffuse du WiFi 6 avec mesh intégré.

L’installation prend deux minutes chrono. Vous branchez les trois prises, vpous attendez un peu que toutes les diodes passent au blanc, puis avec l’app devolo Home Network, vous configurez tout ça. Aucune bidouille, aucun paramétrage manuel puisque les trois adaptateurs sont détecté tout seuls et créent alors un réseau mesh transparent.

Attention ne branchez JAMAIS vos adaptateurs CPL sur une multiprise car ça crée des perturbations qui massacrent les perfs. Branchez-les directement sur une vraie prise murale, et ensuite vous pourrez utiliser la prise intégrée aux boitiers pour brancher votre multiprise par-dessus.

Le gros atout du CPL face au mesh WiFi classique, c’est sa stabilité. Un mesh WiFi pur va fluctuer selon les interférences, les murs, les voisins qui balancent du 2.4 GHz à fond. Alors que là, le backhaul (la connexion entre les prises) passe par les câbles électriques à 2400 Mbps max, donc zéro fluctuation. Le WiFi 6 diffusé ensuite monte jusqu’à 3000 Mbps (574 Mbps en 2,4 GHz + 2402 Mbps en 5 GHz), avec du roaming automatique entre les prises.

Par contre, je vais être clair, les performances dépendent énormément de la qualité de votre installation électrique. Si votre maison date de Mathusalem avec un câblage pourri, vous n’atteindrez jamais les débits théoriques. C’est le seul point noir du CPL… ça dépend énormément de votre install électrique.

Ensuite, j’ai mesuré les performances avecc ma configuration. Même étage que le routeur je suis environ 500 Mbps en CPL et au premier étage je suis entre 330 et 415 Mbps selon où je me trouve. Du coup, pour mes caméras de surveillance ou se faire un film en streaming 4K, c’est largement suffisant et surtout ultra-stable.

Si vous regardez bien, sous chaque prise WiFi il y a deux ports Ethernet gigabit, ce qui est parfait si vous avez des appareils filaires à brancher (NAS, switch, caméras PoE avec injecteur…etc) et tout le réseau est extensible puisque vous pouvez ajouter autant de prises Devolo que vous voulez partout chez vous pour couvrir une surface gigantesque.

Le système Devolo embarque également tout ce qu’on attend d’une solution de routeurs / répéteurs modernes : un chiffrement WPA3 pour la sécurité, du WiFi invité pour vos potes histoire de pas leur filer votre mot de passe principal, contrôle parental avec programmation horaire, et Airtime Fairness pour que vos appareils rapides ne soient pas ralentis par le vieux smartphone de belle-maman. Tout se pilote bien sûr via l’app devolo Home Network, disponible sur iOS et Android.

Pour ceux qui ont des connaissances pointues en CPL, sachez que ce système utilise la techno G.hn qui est plus rapide et plus stable que l’ancien HomePlug AV2. Donc si vous avez de vieux adaptateurs CPL qui traînent, autant les offrir à quelqu’un qui n’en a pas parce que la différence de performances est énorme. Le G.hn gère carrément mieux les perturbations et offre des débits très supérieurs.

Voilà, alors si vous êtes comme moi et que vous avec une maison ancienne avec des murs épais, plusieurs étages, ou des zones où le WiFi ne passe juste pas genre loin dans le jardin, suffit d’avoir l’électricité et vous êtes opérationnel. Par contre, si vous vivez dans un appart récent avec des murs en placo, un simple système mesh WiFi fera probablement l’affaire pour moins cher.

Maintenant le truc qui pique un peu mais quand on aime on ne compte pas, c’est le prix. Comptez environ 400-470 euros le kit Multiroom (3 adaptateurs) selon les revendeurs. C’est cher, mais quand l’alternative c’est de tirer des câbles Ethernet à travers toute la baraque ou de galérer avec un mesh WiFi capricieux dans une vieille baraque, ça se défend. Et Devolo offre une garantie de trois ans, donc vous êtes tranquille.

Notez qu’il existe aussi un Starter Kit à deux adaptateurs autour de 240-260 euros si vous avez une surface plus modeste.

Donc voilà, pour mon local technique et mes caméras WiFi, le Devolo Magic 2 WiFi 6 Next fait très bien le job. Après c’est comme tout, c’est une solution miracle mais pour des cas comme le mien où le WiFi classique ne suffit pas et que les distances sont trop grandes, ça change la vie ! Et maintenant j’ai un super wifi pour bosser dans le jardin et faire mes tests de caméras !

Il balance un stream de DOOM sur des caméras Yi pleines de failles

Vous avez une caméra de surveillance connectée chez vous ? Du genre petite caméra Yi à 15 balles achetée sur AliExpress pour surveiller le salon ou le chat quand vous n’êtes pas là ? Alors tenez-vous bien parce qu’un chercheur a réussi à faire tourner DOOM dessus. Et sans toucher au firmware s’il vous plait ! Il a juste exploité le stream vidéo et quelques bugs bien sentis de l’appareil.

Luke M a publié son projet Yihaw sur GitHub et ça fait un peu peur car si quelqu’un peut hijacker le stream de votre caméra pour y balancer un FPS des années 90, il peut aussi faire pas mal d’autres trucs beaucoup moins rigolos.

Le hack est assez cool d’ailleurs car ces caméras Yi tournent sur un petit processeur ARM sous Linux. Elles ont donc une app mobile qui vous permet de voir le stream en temps réel et Luke M a trouvé plusieurs vulnérabilités dans la stack réseau de la caméra. Je vous passe les détails mais avec ces bugs, il peut injecter du code arbitraire sans modifier le firmware.

Il peut alors créer trois threads qui tournent en parallèle. Le premier récupère les frames YUV420p directement depuis le capteur de la caméra. Le deuxième convertit ça en h264. Le troisième, au lieu d’envoyer le flux vidéo normal, envoie DOOM. Du coup, vous ouvrez l’app Yi IoT sur votre smartphone et vous voyez le Doomguy buter des demons au lieu de voir votre salon. C’est rigolo, hein ?

Ces caméras Yi, il y en a des millions installées partout dans le monde. Bureaux, maisons, magasins…etc car elles sont pas chères, elles marchent plutôt bien, elles ont une app correcte, mais leur sécurité c’est une vraie passoire. C’est bourré de bugs qu’on trouve en une après-midi avec un fuzzer basique.

Luke M liste plusieurs exploits dans son repo GitHub et c’est un vrai buffet à volonté pour quelqu’un qui veut prendre le contrôle de ces caméras. Bien sûr ce serait illégal alors personne ne le fait, surtout parce que ça demande quand même un peu de boulot pour chaque modèle de caméra. Mais les outils existent, les vulnérabilités sont connues, et si un chercheur solo peut le faire pour s’amuser avec DOOM, imaginez ce qu’un botnet bien pensé pourrait faire.

Tous ces trucs qu’on a chez nous, qui tournent sur du Linux embarqué avec des stacks réseau écrites à l’arrache par des équipes chinoises sous-payées qui doivent sortir un produit tous les trois mois.

C’est beau non ?

Source (c’est du PDF)

Cameradar - L'outil qui trouve et accède aux caméras de surveillance mal sécurisées

Vous saviez que des milliers de caméras de surveillance sont accessibles sans mot de passe sur Internet ? Et bien Cameradar est l’outil qui vous aidera à trouver ces caméras vulnérables en quelques secondes. Et bien sûr, comme je suis super sympa, je vais vous montrer comment ça marche (pour tester VOS caméras, bien sûr).

Développé par Ullaakut, Cameradar est un scanner RTSP open source écrit en Go qui fait trois trucs essentiels : il détecte les flux RTSP sur un réseau, identifie le modèle de caméra, et lance des attaques par dictionnaire pour trouver les identifiants. En gros, c’est l’outil parfait pour vérifier si vos caméras sont bien sécurisées.

Cette camera parle, voit à 360°, suit vos chats et appelle Mamie. Oui oui

– Article invité, rédigé par Vincent Lautier, contient des liens affiliés Amazon –

À une époque où même votre frigo veut vous parler, il est bon de voir un gadget connecté qui sait vraiment à quoi il sert. J’ai eu l’occasion de tester la caméra de surveillance intérieure Imou Rex VT Pro, et si elle n’a peut-être pas un nom sexy, mais elle coche un nombre incroyable de cases pour prix pas déconnant.

Waymo, les voitures autonomes qui balancent tout à la police

Même si ça n’embête pas grand monde, les dashcams restent problématiques parce que quelqu’un pourrait avoir des images de vous au volant de votre Fiat Punto, avec votre maitresse sur le siège passager… Ou encore déambulant complètement saoule et à moitié nu dans les rues de Pau, ce qui vous empêcherait, peut-être un jour d’être ministre… Quoique…

Mais je trouve que ça apporte quand même un gros avantage en cas d’accident pour lever le doute sur certaines situations complexes surtout quand on voit le nombre de Volkswagens, euuuh pardon, de chauffards en exercice sur nos routes nationales.

❌