Malgré les avertissements, ces produits restent largement disponibles en ligne. Consumer Reports a contacté les vendeurs concernés, mais certains continuent de proposer des produits similaires. Des représentants de Temu et Walmart ont réagi en cessant la vente des sonnettes signalées, mais des modèles similaires persistent. Amazon n'a pas encore répondu aux demandes de commentaires. Cette révélation souligne les préoccupations croissantes quant à la sécurité et à la protection de la vie privée liées aux dispositifs IoT bon marché, en dépit des tendances antérieures telles que celles concernant les sonnettes Ring et les caméras Eufy.
Dans le cadre de son évaluation de routine, Consumer Reports a examiné les sonnettes vidéo Eken et Tuck qui semblaient être le même produit sous des noms de marque différents. Un examen plus approfondi par les chercheurs de Consumer Reports a révélé des vulnérabilités en matière de sécurité. Consumer Reports a également découvert que ces deux produits et au moins 10 autres sonnettes vidéo apparemment identiques sont vendus sous différents noms de marque sur diverses places de marché numériques. Ils sont tous fabriqués par une seule société, Eken Group Ltd, basée à Shenzhen, en Chine, et contrôlés par une seule application mobile appelée Aiwit, qu'Eken exploite également.
Voici un aperçu des problèmes de sécurité posés par les sonnettes vidéo :
- l'exposition des adresses IP et des noms de réseaux WiFi d'un utilisateur à Internet sans chiffrement, ce qui peut ouvrir le réseau domestique d'un utilisateur à des activités malveillantes ;
- possibilité pour des acteurs malveillants potentiels de prendre le contrôle de l'appareil en téléchargeant l'application pour smartphone Aiwit et en mettant la sonnette en mode couplage, ce qui permet à un acteur malveillant de prendre possession de l'appareil, de visionner les séquences et de verrouiller le propriétaire de l'appareil ;
- accès à distance aux images fixes du flux vidéo et à d'autres informations sans authentification, en acquérant le numéro de série de la sonnette ;
- l'absence d'un code d'enregistrement qui doit être visible sur cette catégorie de produits, conformément à la réglementation de la Commission fédérale des communications (FCC).
Eken, Tuck et les autres marques ne sont pas des noms très connus sur le marché des sonnettes vidéo, mais elles se vendent relativement bien en ligne. Les sonnettes apparaissent dans plusieurs listes sur Amazon - nous en avons trouvé huit pour la sonnette vidéo Eken et trois pour la version Tuck du produit. Ces listes ont généré plus de 4 200 ventes pour le seul mois de janvier 2024. Au cours des derniers mois, les sonnettes vidéo Eken et Tuck ont souvent porté des badges indiquant « Amazon's Choice : Choix général ». Les badges sont apparus même après que Consumer Reports a alerté Amazon sur les problèmes de sécurité.
Justin Brookman, directeur de la politique technologique chez Consumer Reports, a déclaré : « Ces sonnettes vidéo de fabricants peu connus présentent de sérieuses failles en matière de sécurité et de protection de la vie privée, et elles se sont retrouvées sur de grands marchés numériques tels qu'Amazon et Walmart. Les fabricants et les plateformes qui vendent ces sonnettes ont la responsabilité de veiller à ce que ces produits ne mettent pas les consommateurs en danger. Les grandes plateformes de commerce électronique comme Amazon et Walmart doivent mieux contrôler les vendeurs et les produits vendus sur leurs plateformes, afin que les consommateurs ne soient pas mis en danger. Il est clair que nous avons besoin de nouvelles règles pour responsabiliser davantage les vendeurs en ligne. »
Des sonnettes vidéo vulnérables commercialisées par Amazon et autres grandes plateformes de vente
Amazon serait en train de commercialiser des sonnettes vidéo présentant des vulnérabilités significatives en matière de sécurité. Ces appareils sont également disponibles chez Walmart, Sears, ainsi que d'autres détaillants, et ces grandes plateformes n'auraient que peu de conséquences pour la vente de produits défectueux. Un après-midi de jeudi, une journaliste de Consumer Reports a reçu un courrier électronique avec une image granuleuse d'elle-même faisant signe à une caméra de sonnette installée à sa porte arrière. Bien que cela aurait pu être alarmant s'il venait d'un inconnu, il s'est avéré être envoyé par Steve Blair, un ingénieur de Consumer Reports spécialisé dans les tests de sécurité et de confidentialité. Blair avait réussi à pirater la sonnette à une distance de 2 923 km.
Toutes les sonnettes évaluées utilisent l'application Aiwit sur smartphone
Blair avait obtenu des images similaires de sonnettes connectées aux domiciles d'autres employés de CR et d'un appareil dans le laboratoire de test de Yonkers, dans l'État de New York. Bien que l'accès à ces dispositifs ait été anticipé, la réception de photos de la terrasse et du jardin du journaliste a suscité une certaine surprise. Après tout, les sonnettes vidéo sont censées aider à surveiller les visiteurs à la porte, non à permettre à d'autres de vous observer.
Blair a pu capturer ces images en identifiant, avec son collègue ingénieur d'essai David Della Rocca, des failles sérieuses dans cette sonnette et dans d'autres modèles vendus sous différentes marques mais apparemment fabriqués par le même fabricant. De plus, ces sonnettes ne portent pas d'identifiant FCC visible, contrairement à la réglementation en vigueur, rendant leur distribution illégale aux États-Unis.
Ces sonnettes vidéo, potentiellement dangereuses, se vendent en grande quantité chaque mois sur diverses plateformes en ligne, dont Amazon, Walmart, Sears, Shein et Temu. Les experts affirment que ces produits ne sont que la pointe de l'iceberg parmi les nombreux appareils électroniques bon marché et peu sûrs provenant de fabricants chinois et vendus aux États-Unis. Des responsables de la régulation ont déjà signalé la disponibilité massive sur Amazon de milliers de produits peu sûrs, allant des vêtements de nuit pour enfants potentiellement dangereux aux détecteurs de monoxyde de carbone et compléments alimentaires.
Un risque majeur découvert par Consumer Reports
Blair et Della Rocca ont identifié des problèmes lors de l'évaluation de plusieurs sonnettes vidéo dans le cadre du programme d'évaluation régulier de Consumer Reports. Ces dispositifs étaient commercialisés sous les marques Eken et Tuck. Les deux sonnettes se sont distinguées non seulement par leurs problèmes de sécurité, mais aussi par leur apparente identité, bien que vendues sous des noms de marque différents. Des recherches en ligne ont révélé que plus de 10 autres sonnettes, paraissant identiques, étaient vendues sous diverses marques, toutes gérées par la même application mobile, Aiwit, appartenant à Eken. Deux de ces produits, sous les marques Fishbot et Rakeblue, ont été achetés par Consumer Reports, révélant les mêmes vulnérabilités.
Les risques de sécurité sont critiques, pouvant permettre à des personnes mal intentionnées de prendre le contrôle des sonnettes et de surveiller les activités des occupants de la maison. Consumer Reports a tenté de contacter les sociétés Eken et Tuck pour les informer des problèmes, mais n'a pas reçu de réponse. Les sonnettes exposent l'adresse IP et le nom du réseau WiFi sans chiffrement, ouvrant potentiellement les réseaux domestiques à des cybercriminels. Les experts s'inquiètent également de la sécurité insuffisante des serveurs stockant les vidéos. Ces vulnérabilités sont particulièrement préoccupantes pour les victimes de violence domestique, exposant leur domicile à une surveillance indésirable.
Les failles de sécurité permettraient à toute personne ayant un accès physique à une sonnette de prendre le contrôle de l'appareil sans compétences en piratage. Le scénario d'un ex-petit ami violent surveillant les allées et venues de sa cible a été illustré, soulignant le danger potentiel de ces dispositifs mal sécurisés. La méthode d'appairage utilisée par ces sonnettes, qui ne nécessite pas de mot de passe ou de compte, peut permettre à des harceleurs d'accéder à distance aux images vidéo même après avoir perdu l'accès initial. L'absence de contrôles d'accès de base suscite des inquiétudes quant à la sécurité de ces dispositifs connectés, mettant en danger la vie privée des utilisateurs.
Justin Brookman, directeur de la politique technologique chez Consumer Reports, souligne la nécessité pour les grandes plateformes de commerce électronique, telles qu'Amazon, d'assumer une plus grande responsabilité quant aux dommages causés par les produits qu'elles vendent. Il suggère qu'elles pourraient faire davantage pour superviser les vendeurs et traiter les plaintes, au lieu de simplement s'appuyer sur leur réputation et laisser des produits défectueux entre les mains de consommateurs mal informés.
Pour créer leurs produits, ces entreprises peuvent s'inspirer d'un modèle de référence d'une société de puces qui fabrique les cerveaux des appareils électroniques, acheter les composants électroniques nécessaires dans des usines voisines, fabriquer un boîtier en plastique bon marché, puis assembler le produit final. Selon Huang, certaines entreprises chinoises peuvent assembler un nouvel appareil électronique en deux semaines seulement. Toutefois, ce type de développement rapide et bon marché ne se prête pas à la cybersécurité, selon Steve Hanna, responsable de la stratégie et de la technologie de sécurité de l'IdO chez Infineon Technologies, une société de semi-conducteurs.
« Il est toujours vrai que construire un produit plus sûr coûte plus cher », explique-t-il, mais pour de nombreuses entreprises IoT à bas prix, il n'y a guère d'incitation économique à inclure la sécurité, car elle est invisible pour la plupart des consommateurs. Si ces produits n'ont pas été contrôlés par Amazon, pourquoi reçoivent-ils le label Amazon's Choice ? Selon une FAQ de l'entreprise, cette désignation est basée sur « l'évaluation, le prix, la popularité, la disponibilité du produit et la rapidité de livraison ». Elle est générée dynamiquement par un algorithme et peut apparaître soudainement, puis disparaître tout aussi rapidement.
Temu a déclaré par courriel qu'elle examinait les conclusions de Consumer Reports et qu'elle avait retiré de son site Web toutes les sonnettes vidéo utilisant l'application Aiwit et fabriquées par Eken, mais que des sonnettes d'apparence similaire, voire identiques, restaient sur le site. Walmart a indiqué à CR par courriel qu'il s'attendait à ce que les produits vendus sur son marché « soient sûrs, fiables et conformes à nos normes et à toutes les exigences légales ». Les articles identifiés comme ne répondant pas à ces normes ou exigences seront rapidement retirés du site web et resteront bloqués. À la mi-février, il était encore possible d'acheter les sonnettes vidéo sur Walmart. Amazon, Sears et Shein n'ont pas répondu aux questions des journalistes de la CR.
Consumer Reports demande à la FTC de mettre fin à la vente en ligne de ces sonnettes vidéo et invite les détaillants en ligne à prendre des mesures pour garantir la qualité des produits qu'ils vendent, comme le feraient les supermarchés ou les grands magasins. Amazon, Walmart et les autres détaillants en ligne devraient réagir avec force lorsque des problèmes sont découverts, notamment en contactant les clients qui ont acheté des articles qui se sont révélés nocifs.
La CR a également envoyé une lettre à la FTC, à la Federal Communications Commission et au bureau du procureur général de Californie pour les alerter sur les failles de sécurité associées à ces sonnettes. Les autorités de régulation ont déjà affirmé que des milliers de produits dangereux, notamment des vêtements de nuit pour enfants, des détecteurs de monoxyde de carbone et des compléments alimentaires, étaient largement disponibles sur Amazon.
Note de la FCC sur les exigences d'étiquetage des équipements
Les informations d'étiquetage et de conformité requises pour un produit sont déterminées par la procédure d'autorisation de l'équipement conformément aux règles spécifiques de la FCC applicables à ce produit. La FCC propose deux procédures d'autorisation des équipements : la Déclaration de Conformité du Fournisseur (SDoC) et la Certification.
Les règles de la FCC qui s'appliquent à l'appareil RF autorisé précisent la procédure d'autorisation de l'équipement à utiliser. Les exigences en matière d'étiquetage pour l'appareil RF varient en fonction du type d'autorisation d'équipement utilisé. Pour les dispositifs composites, comprenant à la fois des émetteurs radio et des circuits numériques, le SDoC peut être utilisé pour la partie circuit numérique et la certification pour la partie émetteur. Cependant, la certification peut également servir à démontrer la conformité à la fois de l'émetteur et des circuits numériques.
Déclaration de Conformité du Fournisseur (SDoC)
Identification du produit
Les exigences relatives à l'identification du produit (étiquetage) et aux informations de conformité pour un dispositif soumis au SDoC exigent que chaque dispositif soit identifié de manière unique, utilisant par exemple une étiquette mentionnant un nom commercial et un numéro de type ou de modèle. Les utilisateurs finaux doivent recevoir une déclaration de conformité pour le produit.
L'identifiant unique peut prendre diverses formes, telles qu'un nom commercial et un numéro de type, un numéro de modèle, un numéro de série, ou tout autre moyen interne utilisé lors du processus de fabrication.
Informations de conformité
Une déclaration d'informations de conformité doit être fournie avec le produit au moment de la commercialisation ou de l'importation. Elle comprend l'identification du produit (nom commercial, modèle, etc.), une déclaration de conformité aux règles pertinentes, le nom, l'adresse, le numéro de téléphone ou les coordonnées Internet du contact de la partie responsable située aux États-Unis.
Informations relatives à la conformité des produits assemblés
Conformément à la loi, les points suivants s'appliquent aux produits assemblés à partir de composants modulaires autorisés en vertu du SDoC ou d'une certification. Ils doivent être accompagnés d'une déclaration de conformité contenant l'identification du produit assemblé, l'identification des composants modulaires autorisés utilisés, une déclaration de conformité aux règles appropriées, et les coordonnées de la partie responsable ayant effectué l'assemblage. Pour les dispositifs SDoC, la partie responsable doit être située aux États-Unis, et des copies des déclarations d'information sur la conformité pour chaque composant modulaire autorisé doivent être fournies.
Certification
Afin d'obtenir la certification, le produit doit comporter une plaque signalétique ou une étiquette portant l'identifiant FCC (FCC ID). L'identifiant FCC doit toujours être accessible pendant l'utilisation du produit. Il doit être physiquement présent sur le produit, à moins qu'une étiquette électronique ne soit utilisée. Les étiquettes physiques d'identification FCC doivent être positionnées sur la surface du produit ou dans un compartiment non détachable accessible à l'utilisateur, tel que le compartiment à piles. Cette étiquette doit être solidement apposée de manière permanente, garantissant une identification certaine de l'appareil. La police de caractères doit être aisément lisible et proportionnée aux dimensions de l'équipement et de la zone d'étiquetage.
Si le dispositif est de taille réduite ou destiné à une utilisation particulière ne permettant pas l'application d'une étiquette avec une taille de police de quatre points ou plus (et que le dispositif n'utilise pas d'étiquetage électronique), l'identifiant FCC doit figurer dans le manuel de l'utilisateur. L'identifiant FCC doit également être présent sur l'emballage du dispositif ou sur une étiquette amovible.
Étiquetage électronique
Les produits équipés d'un écran intégré ou ne fonctionnant qu'avec un autre produit doté d'un écran électronique peuvent afficher sur cet écran l'identifiant FCC, les avertissements ou toute autre information requise par les règles de la Commission.
Informations sur l'emballage
L'emballage de certains dispositifs RF doit contenir des informations E-Label. Les dispositifs affichant leur identifiant FCC, des avertissements ou d'autres informations par voie électronique doivent être étiquetés, soit sur le dispositif, soit sur son emballage, avec l'identifiant FCC et d'autres informations (telles qu'un numéro de modèle) permettant d'identifier les dispositifs lors de l'importation, de la commercialisation et de la vente comme étant conformes aux exigences d'autorisation d'équipement de la FCC.
Cette exigence s'ajoute à l'étiquetage électronique du dispositif. Les dispositifs peuvent être étiquetés à l'aide d'une étiquette autocollante, d'une étiquette imprimée sur l'emballage, d'une étiquette sur un sac de protection ou par d'autres moyens similaires. Toute étiquette amovible doit être conçue pour résister à une expédition et à une manipulation normale et ne doit être retirée par le client qu'après l'achat. Pour les amplificateurs de signaux, les avis doivent être inclus dans les documents de commercialisation en ligne, le manuel d'utilisation, les instructions d'installation imprimées ou en ligne, l'emballage extérieur de l'appareil et sur une étiquette apposée sur l'appareil.
Comment les entreprises chinoises séduisent Amazon malgré les problèmes de sécurité
Au cours des derniers mois, les sonnettes vidéo Eken et Tuck ont fréquemment affiché le badge Amazon's Choice malgré les problèmes de sécurité signalés à Amazon par CR. Pour de nombreux acheteurs, ce label peut laisser penser qu'Amazon a consciemment sélectionné et recommandé cette sonnette vidéo en raison de sa qualité. Cependant, la réalité est différente.
Au cours des derniers mois, les sonnettes vidéo Eken et Tuck vendues sur Amazon ont souvent porté le label Amazon's Choice : Choix général
Comme plus de 60 % des articles vendus sur Amazon, les produits d'Eken sont mis en ligne par des vendeurs indépendants, Amazon se chargeant généralement des services logistiques tels que l'entreposage, l'expédition et les retours. Tout individu peut vendre presque n'importe quel produit sur Amazon, qui a généré environ 140 milliards de dollars de chiffre d'affaires avec des vendeurs tiers en 2023.
Cette approche offre aux acheteurs une large gamme de produits, mais elle peut également rendre difficile la compréhension de ce que l'on achète et qui est le vendeur. Les dix marques de sonnettes, ainsi que l'application Aiwit, semblent appartenir à une société de 18 ans appelée Eken Group Ltd, basée à Shenzhen, en Chine, avec un bureau en Californie du Sud situé dans un appartement à Temple City.
Pour de nombreuses entreprises technologiques chinoises, la stratégie de vendre du matériel bon marché sous différentes marques peut stimuler les ventes dans une catégorie de produits très populaire, jusqu'à ce qu'elle ne le soit plus. C'est ce que souligne Andrew Huang, ingénieur émérite et expert en logiciels, auteur de The Essential Guide to Electronics in Shenzhen (Le guide essentiel de l'électronique à Shenzhen). Selon Huang, ces entreprises adoptent une approche agile, changeant de produit en fonction des tendances du marché.
Huang explique que pour le marché des caméras de sécurité, la marque est davantage un élément de marketing, réalisant quelques ajustements esthétiques, mais n'ayant pas nécessairement de stocks importants, leur existence fluctuant selon les tendances du marché des matières premières. Pour développer leurs produits, ces entreprises peuvent s'inspirer de modèles de référence de sociétés de puces électroniques, acheter des composants électroniques dans des usines locales, fabriquer un boîtier en plastique peu coûteux, puis assembler le produit final. Selon Huang, certaines entreprises chinoises peuvent assembler un nouvel appareil électronique en seulement deux semaines.
Cependant, cette approche de développement rapide et économique ne favorise pas la cybersécurité, selon Steve Hanna, responsable de la stratégie et de la technologie de sécurité de l'IdO chez Infineon Technologies, une société de semi-conducteurs. Il souligne que la création d'un produit plus sûr implique des coûts supplémentaires, mais pour de nombreuses entreprises IoT à bas prix, l'incitation économique à inclure la sécurité est minime, car elle demeure invisible pour la plupart des consommateurs.
En ce qui concerne l'attribution du label Amazon's Choice à ces produits, même s'ils ne sont pas vérifiés par Amazon, l'entreprise explique que cette désignation repose sur des critères tels que l'évaluation, le prix, la popularité, la disponibilité du produit et la rapidité de livraison. Elle est générée dynamiquement par un algorithme, apparaissant et disparaissant de manière spontanée.
Inquiétudes grandissantes sur la sécurité des dispositifs IoT bon arché
Cette enquête de Consumer Reports met en lumière des problèmes de sécurité sérieux liés aux sonnettes vidéo bon marché, particulièrement celles vendues entre 30 et 40 dollars sur des plateformes populaires comme Amazon et Walmart. Les marques Eken et Tuck, ciblées par l'enquête, partagent un matériel similaire produit en Chine par le groupe Eken, exposant ainsi des failles de sécurité alarmantes.
L'une des principales préoccupations soulevées par Consumer Reports concerne la vulnérabilité des données sensibles, telles que les adresses IP et les noms Wi-Fi, qui sont envoyées de manière non chiffrée. De plus, la possibilité de prendre le contrôle de la sonnette via le mode d'appairage et l'accès aux images vidéo en utilisant simplement le numéro de série de la caméra sont des risques inacceptables pour la sécurité des utilisateurs.
La constatation selon laquelle les caméras Eken ne disposent pas de code d'enregistrement FCC ajoute une autre couche de préoccupation, soulignant un manquement aux normes réglementaires et de sécurité. Malgré ces problèmes graves, les produits restent largement disponibles en ligne, mettant potentiellement en danger un grand nombre d'utilisateurs inconscients de ces vulnérabilités.
Le fait que certains vendeurs aient cessé la vente des sonnettes signalées en réaction à la mise en lumière de ces problèmes est une réaction positive, mais la persistance de modèles similaires souligne la nécessité d'une action plus ferme de la part des plateformes de vente en ligne, notamment Amazon. L'absence de réponse de la part d'Amazon à ce stade est préoccupante, car cela laisse les consommateurs exposés à des risques potentiels.
Cette révélation s'inscrit dans une tendance plus large de préoccupations croissantes concernant la sécurité et la protection de la vie privée liées aux dispositifs IoT bon marché. Des incidents antérieurs, tels que ceux liés aux sonnettes Ring et aux caméras Eufy, ont déjà suscité des inquiétudes, soulignant la nécessité d'une réglementation plus stricte et d'une surveillance continue de la sécurité des dispositifs IoT afin de protéger les consommateurs. En conclusion, cette enquête souligne l'importance pour les utilisateurs d'être vigilants lors de l'achat de produits IoT bon marché et met en évidence la nécessité pour l'industrie et les autorités réglementaires d'agir de manière proactive pour garantir la sécurité des consommateurs.
Quelques conseils à l'intention des utilisateurs
Si vous possédez l'une de ces sonnettes, Consumer Reports conseille de la déconnecter de votre réseau WiFi domestique et de la retirer de votre porte. L'évaluation de Consumer Reports a mis en avant des sonnettes vidéo plus sécurisées de marques telles que Logitech, SimpliSafe et Ring, propriété d'Amazon. De manière plus générale, ne présumez pas que les grandes plateformes de vente en ligne ont évalué la sécurité de tous les produits qu'elles proposent. Au fil des ans, des agences fédérales et des journalistes ont signalé divers produits dangereux ou illégaux en vente sur Amazon.
En cas d'achat de produits défectueux auprès d'un magasin local, celui-ci pourrait être tenu responsable des dommages ou des amendes. Cependant, Amazon a précédemment affirmé ne pas être responsable des articles vendus par des tiers sur sa plateforme, considérant ces vendeurs comme une simple société logistique. La Commission de la sécurité des produits de consommation conteste cette position et envisage de classer officiellement la place de marché comme un « distributeur de biens » ayant des responsabilités similaires à celles des détaillants traditionnels. Si cette ordonnance est adoptée, elle pourrait influencer d'autres places de marché en ligne.
En attendant, Consumer Reports appelle les détaillants en ligne à prendre des mesures pour garantir la qualité des produits sur leurs plateformes. Consumer Reports plaide également en faveur d'une législation rendant les plateformes en ligne strictement responsables de la vente de produits défectueux et encourage l'établissement de lois qui exigent clairement des détaillants qu'ils prennent des mesures raisonnables pour éviter la vente de produits nocifs, frauduleux ou non sécurisés sur leurs plateformes.
Consumer Reports a également partagé ses conclusions sur les sonnettes vidéo avec la Commission fédérale du commerce, qui a le pouvoir de retirer de tels produits du marché. L'agence n'a pas commenté les mesures envisagées, soulignant que ses enquêtes sont confidentielles. Justin Brookman de Consumer Reports souligne la nécessité pour les régulateurs d'intervenir davantage contre la prolifération de produits indésirables sur le marché, en ciblant tant les fabricants que les plateformes de vente qui les recommandent explicitement.
Sources : Consumer Reports (1, 2), FCC
Et vous ?
Quel est votre avis sur le sujet ?
Les conclusions du rapport de CR sont-elles pertinentes ?
Voir aussi :
Les cybercriminels utilisent des brouilleurs pour perturber les caméras de sécurité WiFi, un avertissement est lancé à tous ceux qui utilisent des caméras de sécurité sans fil comme Ring
Canon a installé dans ses bureaux chinois des caméras dotées d'une technologie de « reconnaissance des sourires » basée sur l'IA, qui ne laissent entrer que les employés souriants