Posté le novembre 23, 2020 à 13:13
LES FAILLES DES SONNETTES DE PORTE INTELLIGENTES INVITENT LES HACKERS À S’INFILTRER DANS LES APPAREILS DOMESTIQUES
Selon un rapport récent, une faille de sécurité importante dans plusieurs appareils pourrait permettre aux hackers d’infiltrer les ordinateurs portables dans les maisons par le biais de sonnettes de porte intelligentes.
Les sonnettes intelligentes présentant de tels problèmes de vulnérabilité sont généralement les moins chères. Elles peuvent être facilement volées, piratées ou désactivées par les cybercriminels.
Le défenseur des consommateurs Which? a découvert, après avoir acheté 11 de ces sonnettes, qu’elles pouvaient être facilement modifiées par des hackers pour infiltrer les systèmes.
Certaines de ces sonnettes ressemblent à des modèles de Google Nest ou d’Amazon Ring et sont disponibles sur des places de marché en ligne populaires comme eBay et Amazon.
La plupart des dispositifs présentent un risque de sécurité élevé
WHICH a travaillé avec le groupe d’experts en cybersécurité du NCC pour examiner les problèmes de sécurité à haut risque auxquels sont confrontées les sonnettes de porte. Les chercheurs ont estimé que neuf des dispositifs présentaient un niveau de risque élevé et les deux autres une vulnérabilité critique.
La vulnérabilité comprenait une collecte excessive d’informations privées des consommateurs, un manque de cryptage et des politiques de mots de passe faibles. Toutes ces failles de sécurité risquent d’exposer les données sensibles aux acteurs malveillants.
Certaines de ces vulnérabilités permettent même aux hackers d’accéder à la sonnette d’entrée, car ils pourraient la voler physiquement.
Les sonnettes Ctronics et Victure ont été testées par les chercheurs. Ils ont découvert que les dispositifs présentent des failles critiques qui pourraient permettre aux acteurs malveillants de voler le mot de passe du réseau. Une fois le mot de passe volé, ils peuvent l’utiliser pour pirater la sonnette et son routeur, ainsi que d’autres dispositifs intelligents connectés comme une caméra et un thermostat. Il est également possible de pirater l’ordinateur portable à la maison grâce à l’accès dont ils disposent à partir de la sonnette et de son routeur.
Amazon a retiré la plupart des produits concernés
Amazon a qualifié la sonnette Victure Smart Video de best-seller en ce qui concerne les « visionneuses de porte ». Sur 1 000 évaluations, la sonnette a obtenu une note de 4,3 points sur 5.
La sonnette envoie le WiFi et les mots de passe non cryptés des clients à domicile à des serveurs en Chine. Si les informations sont volées, le hacker peut accéder au WiFi des victimes, leur permettant ainsi de lancer des attaques sur leurs données privées et autres appareils intelligents.
Lorsque WHICH a fait part de ses découvertes, Amazon a retiré la plupart des listes de produits. Selon le porte-parole de l’entreprise, l’une des règles pour inscrire un produit sur Amazon est que les entreprises doivent se conformer à ses politiques et aux lois applicables. Les entreprises répertoriées auraient dû concevoir des outils de premier ordre pour éviter de répertorier des produits non conformes sur Amazon.
L’autre sonnette, connue sous le nom de Ctronics comme le modèle Victure, porte le logo Amazon’s Choice. Lorsque le défenseur des consommateurs a analysé la sonnette avec l’aide du NCC Group, il a découvert qu’elle ressemblait exactement à la sonnette Victure et qu’il s’agissait d’un clone identique avec les mêmes vulnérabilités de cryptage et de pare-feu.
WHICH? a signalé les deux cas au Bureau du commissaire à l’information (ICO). Le défenseur des consommateurs estime que les deux cas auraient enfreint le règlement général sur la protection des données.
Selon l’ICO, « les lois sur la protection des données exigent que la collecte et l’utilisation des données personnelles soient équitables et transparentes ».
L’agence a également déclaré qu’il est important que les organisations soient claires avec les utilisateurs quant à l’utilisation de leurs données et qu’elles offrent des options qui peuvent contrôler les données.
Et elles peuvent signaler leurs problèmes à l’ICO si quelqu’un a des questions sur la façon dont leurs données sont traitées.
Kate Bevan, rédactrice en chef de WHICH, a déclaré que les dispositifs connectés, comme les sonnettes de porte intelligentes, pouvaient être pratiques et avantageux. Cependant, ils présentent également des risques élevés car ils ne sont pas équipés du bon système de sécurité. Il n’y a pratiquement pas de surveillance ou de contrôle de sécurité élevé pour ces dispositifs.
Elle a également conseillé qu’il y ait une législation gouvernementale qui puisse traiter les produits non sécurisés. Cette législation devrait être soutenue par un organisme d’application de la loi ayant le pouvoir de sévir contre ces dispositifs.
Elle a en outre conseillé aux utilisateurs de sonnettes de porte de n’acheter que des produits de marques technologiques respectées et fiables, et de ne pas considérer les produits dont le nom est inconnu.
Le directeur de recherche du NCC Group, Matt Lewis, a révélé que les découvertes montrent que la plupart des fabricants sont plus préoccupés par l’utilisation d’un raccourci pour concevoir un produit et moins par les mesures de sécurité qu’ils prennent. Mais il prévoit que la prochaine législation sur les IdO abordera la plupart des problèmes.
