IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un chercheur en sécurité a découvert plus de 1500 identifiants Amazon Ring en vente sur le Dark Net
Permettant d'accéder à l'ensemble des appareils connectés aux sonnettes

Le , par Stéphane le calme

143PARTAGES

12  0 
Ring est une startup d'origine ukrainienne spécialisée dans la sécurité à domicile qui vend des sonnettes permettant de capturer de la vidéo et de l'audio. Les clips peuvent être diffusés sur les smartphones et autres appareils, tandis que la sonnette permet même aux propriétaires de bavarder à distance avec ceux qui se tiennent à leur porte. Amazon a racheté la société l'année dernière pour un montant de 1 milliard de dollars.

Des hackers s’amusaient depuis plusieurs semaines à terroriser quelques habitants, en prenant le contrôle de leur sonnette connectée. Aujourd’hui nous savons pourquoi… Les sonnettes connectées d’Amazon ont été piratées et un chercheur en sécurité de Bitdefender a découvert que 1 562 adresses e-mail et les mots de passe correspondants étaient à vendre sur le dark web depuis ce mardi 17 décembre 2019. En les utilisant, il est possible de se connecter et d’accéder aux caméras. Plus inquiétant encore : les accès permettent aux pirates d’accéder à l’ensemble des appareils connectés reliés aux sonnettes Ring. En se connectant au compte, il est aussi possible de consulter des données personnelles telles que le numéro de téléphone, l’adresse ou les informations de paiement du propriétaire.

Le chercheur à l’origine de cette découverte a présenté le problème à Amazon, qui lui a demandé de ne surtout pas l’exposer à la presse. À l’heure actuelle, les identifiants sont toujours disponibles sur le dark web et le problème n’a toujours pas été résolu par les équipes de sécurité de Ring. Impossible de savoir comment les données ont pu être exposées. Il est possible que les hackers les aient tout simplement devinées, ou qu’ils aient testé des identifiants récupérés lors de précédentes fuites de données en provenance d’autres services.

En effet, le 19 décembre dernier, la presse américaine a rapporté que les informations de connexion de milliers de propriétaires de caméras Ring ont été publiées en ligne de façon frauduleuse. Les informations en questions comprennent 3 672 adresses e-mail, des mots de passe, des fuseaux horaires, et même les noms donnés aux caméras Ring par leur propriétaire comme « cuisine » ou « porte d’entrée ».

Si vous possédez un appareil de marque Ring, il est évidemment fortement conseillé de réinitialiser votre mot de passe dès à présent même si l’entreprise ne vous a pas contacté. Pour éviter le risque qu’un hacker devine vos identifiants, choisissez un mot de passe unique et robuste. Optez aussi pour l’authentification à deux facteurs proposée dans les paramètres, pour ajouter une couche supplémentaire de sécurité faisant appel par exemple à votre téléphone portable.


La liste du dark web

Des médias américains ont contacté une dizaine de personnes concernées par cette cyberattaque pour confirmer que les mots de passe correspondaient bien à leur adresse e-mail. Les résultats se sont avérés être positifs dans 100 % des cas. Le niveau de sécurité de la quasi-totalité des mots de passe était très faible et ces derniers étaient potentiellement faciles à deviner. Le porte-parole de Ring a expliqué que : « Ring n'a pas subi de violation de données. Notre équipe de sécurité a enquêté sur ces incidents et nous n'avons aucune preuve d'une intrusion ou d'une compromission non autorisée des systèmes ou du réseau de Ring. Il n'est pas rare que des acteurs malveillants collectent des données sur les violations de données d'autres sociétés et créent des listes comme celle-ci afin que d'autres acteurs malveillants puissent tenter d'accéder à d'autres services ».

Et de préciser que « nous avons informé l’ensemble de nos clients de cette cyberattaque. Nous avons pu réinitialiser leur mot de passe. De plus, nous continuons à surveiller et à bloquer les tentatives de connexion non autorisées aux comptes Ring ». Étrangement, parmi les clients contactés par les médias américains, aucun n’avait reçu d’appel de la part de Ring.

En janvier 2019, un rapport de The Intercept a affirmé que la société Ring a permis à ses employés de regarder des images en direct à partir des caméras des clients. Selon The Intercept, des ingénieurs de Ring et des cadres auraient eu accès à des flux non filtrés et en continu des séquences de certains utilisateurs. Pour quelqu'un à qui cet accès de haut niveau a été donné, seule l'adresse de messagerie d'un client de Ring était requise pour regarder les caméras de son domicile. Les vidéos non chiffrées étaient partagées entre les employés sur les serveurs de la société et comprenaient des séquences vidéo provenant de l'extérieur et dans certains cas, de l'intérieur du domicile des utilisateurs.

Pendant tout ce temps, les utilisateurs n’avaient aucune idée que les employés de Ring regardaient tout ce qui se passait chez eux à travers leurs caméras. Ce comportement douteux de l'entreprise Ring en matière de confidentialité des données date de bien avant le rachat de la société par Amazon. Une source de The Intercept déclare qu'en 2016, Ring a fourni à son équipe de recherche et de développement basée en Ukraine un accès pratiquement illimité à un dossier du service de stockage Cloud S3 d’Amazon contenant toutes les vidéos créées par toutes les caméras Ring du monde entier.


Selon The Intercept, le fait que des employés de l'entreprise aient pu avoir un accès illimité à ces images est dû à la reconnaissance de modèles qui n'est pas encore au point. Les algorithmes ne réussissant pas bien à identifier les personnes, les collaborateurs de l'entreprise doivent donc visionner les vidéos et désigner les objets. C'est justement au cours de ces opérations que sont survenus les débordements et que les employés supposés garder confidentiel ce qu'ils ont pu voir, ont commencé à montrer à leurs collègues le contenu des vidéo.

Depuis plusieurs années, les objets connectés constituent une entrée de choix pour pirater les réseaux Wi-Fi domestiques. D’ici à 2020, le monde comptera cinq fois plus d’objets connectés que la population mondiale, d'après les prévisions d'IDC. La connectivité s’étend progressivement à tous les objets du quotidien. Enceintes intelligentes, ampoules et thermostats connectés, ustensiles de cuisine, caméras pour enfants, serrures intelligentes, voitures, etc. Il est donc nécessaire pour le public d'être sensibilisé sur la nécessité de mieux protéger ces appareils. Une part de responsabilité incombe également aux constructeurs qui autorisent par exemple l'utilisation des identifiants et mots de passe par défaut sur leurs identifiants au lieu d'imposer de changer le mot de passe par exemple.

Cette situation a permis par exemple permis d'amplifier les attaques du botnet Mirai qui se déploie sur des dispositifs vulnérables en analysant en continu internet pour rechercher des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en bots, les obligeant à communiquer avec un serveur de contrôle central qui peut être utilisé comme lieu de préparation pour lancer des attaques DDoS puissantes qui peuvent entre autres paralyser un site.

Source : TC

Et vous ?

Cette situation vient-elle encore rappeler combien avoir un mot de passe fort et unique est important ?
Une piqûre de rappel pour les fabricants qui n'exigent pas de mot de passe fort ?
Quel serait, selon vous, le consensus idéal entre les fabricants et les utilisateurs en matière de sécurité ?

Voir aussi :

De nombreux systèmes militaires américains critiques pour la sécurité utilisent désormais Linux, un système d'exploitation qui répond au mieux aux exigences du gouvernement ?
Plus de 267 millions de noms et de numéros de téléphone provenant de Facebook ont été divulgués en ligne, selon des chercheurs en sécurité
La Quadrature du Net et 80 organisations demandent l'interdiction de la reconnaissance faciale de la sécurité dans une lettre ouverte aux gouvernement et Parlement français
Sécurité : les auteurs de rançongiciels exposent désormais les institutions qui refusent de payer en publiant leurs noms ainsi que leurs données sur des sites web traditionnels

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Jon Shannow
Membre extrêmement actif https://www.developpez.com
Le 09/01/2020 à 16:24
Principe de base n°1 : Si c'est Amazon, j'en veux pas !
4  0 
Avatar de weed
Membre chevronné https://www.developpez.com
Le 31/12/2019 à 10:38
Citation Envoyé par Thorna Voir le message
Si, maintenant, on le sait tous, et depuis des années.
En es tu certain que Madame Michu soit au courant que les objets connectés (enceintes connectées pour Deezer/Spotify, enceintes intelligentes Google/Amazon, ...) sont des outils pour puiser des informations sur eux?
Pourquoi autant d'utilisateurs font dans ce cas abstractions à ce détail et sont toujours aussi friands de ce type de produit?
3  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 29/01/2020 à 10:10
Citation Envoyé par emilie77 Voir le message
nos données d'achat
T'as encore rien vu :
Apple, Amazon et Google s’associent à une nouvelle organisation qui propose de définir un standard ouvert pour les périphériques domestiques intelligents afin de les rendre plus compatibles
Les grosses entreprises auront toutes les infos, avec ton smartphone elles sauront en permanence où tu trouves, ainsi que les sites que tu visites, si t'as une enceinte connecté tu seras sur écoute en permanence, etc.
Il y a des algorithmes qui doivent vous connaitre mieux que vos ne vous connaissez vous même (en tout cas ils ont un paquet d'infos sur vous).
Tout ça pour afficher de la pub pour des produits susceptible de vous intéressez. Avec les infos récupéré, les entreprises vont pouvoir créer des appareils et des services qui répondront aux besoins des utilisateurs.
3  0 
Avatar de lvr
Membre extrêmement actif https://www.developpez.com
Le 29/01/2020 à 12:31
Citation Envoyé par Ryu2000 Voir le message
Je ne pense pas que ça ait rapport avec la nature humaine, ça a plus rapport avec la nature des grosses multinationales qui veulent gagner le plus d'argent possible pour faire plaisir aux actionnaires.
... actionnaires qui sont... humains. Donc ça a bien rapport à la nature humaine. Et sa soif malseine d'argent et de pouvoir.
3  0 
Avatar de Edrixal
Membre expérimenté https://www.developpez.com
Le 30/01/2020 à 9:17
Citation Envoyé par Ryu2000 Voir le message
Ça concerne ceux qui sont dans le trip capitaliste. Ça n'existe pas depuis des millénaires et ça n'existera peut-être pas pour toujours. L'intégralité des humains ne sont pas obsédé par l'argent.
Le capitalisme, le besoin d'enrichissement personnel, ça ne fait pas partie de la nature humaine. Il y a juste des humains qui ont été perverti par le capitalisme.

Il aurait fallut formuler la phrase autrement, par exemple : si la nature à moins de place, si les courants d'eau sont pollués, si l'air est pollué, si plein d’espèces disparaissent, c'est de la faute aux humains car ils ont laissé le pouvoir à n'importe qui. Ils ne font pas parti activement du problème ils ont juste laisser-faire.
Enfin bref c'est du détail, ce qui est certains c'est que de nombreuses grosses entreprises n'ont aucune éthique et sont prêtent à tout pour augmenter leur profit. Donc elles continueront à acheter et à vendre des informations personnelles et les consommateurs leur donneront de plus en plus d'infos.
La nature humaine c'est la domination. Que ce soit par l'argent, l'influence, la force, le sexe ou je ne sais quoi d'autre.
De tout temps, les empires qui ce sont créer on fait la guerre pour étendre leur territoire, de tout temps les personnes riches ont voulut encore plus d'argent pour être et rester le plus riche, ect....

Tu ne peut pas dire que ce n'est pas la nature humaine... T'es peut être pas avide d'argent, mais ont est tous avide de quelques chose, sinon ont se sent vide et on se laisse mourir. Ce sont nos envie qui nous font avancer.
Peut importe que tu juge t'es envie plus saine ou plus juste, au final c'est ça qui fait que tu va te battre pour affirmer ton point de vue. Et pour beaucoup tout ça, c'est gagner plus d'argent.
3  0 
Avatar de Edrixal
Membre expérimenté https://www.developpez.com
Le 09/01/2020 à 10:49
Citation Envoyé par Stan Adkens Voir le message
La lettre de Ring vous rassure-t-elle pour que vous continuiez à utiliser les sonnettes Ring en toute sérénité ?
Ont parle bien de ses sonnettes ?
Si oui, rien ne me convaincra d'utiliser ce type de matériel en toute sérénité. Comme n'importe quel matériel connecté.

Citation Envoyé par Stan Adkens Voir le message
Ring pourrait-il être efficace sans avoir accès à vos vidéos ? Pourquoi ?
Avoir accès aux vidéos des utilisateurs peut être utile. On l'a vue y'a pas si longtemps. En dehors de ça, aucun intérêt. Enfin aucun pour les utilisateur. Pour l'entreprise c'est toujours un œil sur la vie privée de ses utilisateurs et donc des données perso collecté (Heure d'arriver et de départ, différente habitude de vie comme le voisin qui passe tous les mercredi après midi ou les courses qui sont faite tous les jeudi soir, ect...) qui peuvent être revendu ou utiliser pour affiner les profils.
1  0 
Avatar de emilie77
Membre éprouvé https://www.developpez.com
Le 29/01/2020 à 9:51
J'imagine l'IA de amazon avec nos données d'achat, du cloud, des magasins réels, des caméras ring...
Evil
1  0 
Avatar de Thorna
Membre éprouvé https://www.developpez.com
Le 30/12/2019 à 15:32
Citation Envoyé par Stéphane le calme Voir le message
«De nombreux appareils sont connectés à Internet, et les consommateurs ne savent tout simplement pas comment ils peuvent être exploités si facilement », a déclaré Yanchunis.
Si, maintenant, on le sait tous, et depuis des années.
0  0 
Avatar de hotcryx
Membre extrêmement actif https://www.developpez.com
Le 09/01/2020 à 16:09
"Ring d’Amazon a congédiés des employés"

S'ils pouvaient aussi congédier la Team de support Android, c'est désastreux!!!

Vous devriez en faire un article.

Ils ne répondent pas aux messages, si ce n'est "veuillez passer par Contact Us form", ils cloturent le topic du forum et ne recontactent pas les dev.
0  0 
Avatar de
https://www.developpez.com
Le 29/01/2020 à 10:51
Les médias ont bien fait leur taf ! Les gens se sentent en insécurité permanente à en devenir paranoïaque, des sociétés comme Amazon n'ont plus qu'à se baisser pour ramasser l'argent de cette peur en vendant du matos estampillé "1984". Et en même temps (ouais ! Elle est facile celle-là !) à force d'écouter les autres au lieu de penser par soi-même, on devient forcément une marionnette du système. Il n'y a qu'à voir les réactions de personnes sur le coronavirus chinois, c'est à mourir de rire !
0  0