Des hackers s’amusaient depuis plusieurs semaines à terroriser quelques habitants, en prenant le contrôle de leur sonnette connectée. Aujourd’hui nous savons pourquoi… Les sonnettes connectées d’Amazon ont été piratées et un chercheur en sécurité de Bitdefender a découvert que 1 562 adresses e-mail et les mots de passe correspondants étaient à vendre sur le dark web depuis ce mardi 17 décembre 2019. En les utilisant, il est possible de se connecter et d’accéder aux caméras. Plus inquiétant encore : les accès permettent aux pirates d’accéder à l’ensemble des appareils connectés reliés aux sonnettes Ring. En se connectant au compte, il est aussi possible de consulter des données personnelles telles que le numéro de téléphone, l’adresse ou les informations de paiement du propriétaire.
Le chercheur à l’origine de cette découverte a présenté le problème à Amazon, qui lui a demandé de ne surtout pas l’exposer à la presse. À l’heure actuelle, les identifiants sont toujours disponibles sur le dark web et le problème n’a toujours pas été résolu par les équipes de sécurité de Ring. Impossible de savoir comment les données ont pu être exposées. Il est possible que les hackers les aient tout simplement devinées, ou qu’ils aient testé des identifiants récupérés lors de précédentes fuites de données en provenance d’autres services.
En effet, le 19 décembre dernier, la presse américaine a rapporté que les informations de connexion de milliers de propriétaires de caméras Ring ont été publiées en ligne de façon frauduleuse. Les informations en questions comprennent 3 672 adresses e-mail, des mots de passe, des fuseaux horaires, et même les noms donnés aux caméras Ring par leur propriétaire comme « cuisine » ou « porte d’entrée ».
Si vous possédez un appareil de marque Ring, il est évidemment fortement conseillé de réinitialiser votre mot de passe dès à présent même si l’entreprise ne vous a pas contacté. Pour éviter le risque qu’un hacker devine vos identifiants, choisissez un mot de passe unique et robuste. Optez aussi pour l’authentification à deux facteurs proposée dans les paramètres, pour ajouter une couche supplémentaire de sécurité faisant appel par exemple à votre téléphone portable.
La liste du dark web
Des médias américains ont contacté une dizaine de personnes concernées par cette cyberattaque pour confirmer que les mots de passe correspondaient bien à leur adresse e-mail. Les résultats se sont avérés être positifs dans 100 % des cas. Le niveau de sécurité de la quasi-totalité des mots de passe était très faible et ces derniers étaient potentiellement faciles à deviner. Le porte-parole de Ring a expliqué que : « Ring n'a pas subi de violation de données. Notre équipe de sécurité a enquêté sur ces incidents et nous n'avons aucune preuve d'une intrusion ou d'une compromission non autorisée des systèmes ou du réseau de Ring. Il n'est pas rare que des acteurs malveillants collectent des données sur les violations de données d'autres sociétés et créent des listes comme celle-ci afin que d'autres acteurs malveillants puissent tenter d'accéder à d'autres services ».
Et de préciser que « nous avons informé l’ensemble de nos clients de cette cyberattaque. Nous avons pu réinitialiser leur mot de passe. De plus, nous continuons à surveiller et à bloquer les tentatives de connexion non autorisées aux comptes Ring ». Étrangement, parmi les clients contactés par les médias américains, aucun n’avait reçu d’appel de la part de Ring.
En janvier 2019, un rapport de The Intercept a affirmé que la société Ring a permis à ses employés de regarder des images en direct à partir des caméras des clients. Selon The Intercept, des ingénieurs de Ring et des cadres auraient eu accès à des flux non filtrés et en continu des séquences de certains utilisateurs. Pour quelqu'un à qui cet accès de haut niveau a été donné, seule l'adresse de messagerie d'un client de Ring était requise pour regarder les caméras de son domicile. Les vidéos non chiffrées étaient partagées entre les employés sur les serveurs de la société et comprenaient des séquences vidéo provenant de l'extérieur et dans certains cas, de l'intérieur du domicile des utilisateurs.
Pendant tout ce temps, les utilisateurs n’avaient aucune idée que les employés de Ring regardaient tout ce qui se passait chez eux à travers leurs caméras. Ce comportement douteux de l'entreprise Ring en matière de confidentialité des données date de bien avant le rachat de la société par Amazon. Une source de The Intercept déclare qu'en 2016, Ring a fourni à son équipe de recherche et de développement basée en Ukraine un accès pratiquement illimité à un dossier du service de stockage Cloud S3 d’Amazon contenant toutes les vidéos créées par toutes les caméras Ring du monde entier.
Selon The Intercept, le fait que des employés de l'entreprise aient pu avoir un accès illimité à ces images est dû à la reconnaissance de modèles qui n'est pas encore au point. Les algorithmes ne réussissant pas bien à identifier les personnes, les collaborateurs de l'entreprise doivent donc visionner les vidéos et désigner les objets. C'est justement au cours de ces opérations que sont survenus les débordements et que les employés supposés garder confidentiel ce qu'ils ont pu voir, ont commencé à montrer à leurs collègues le contenu des vidéo.
Depuis plusieurs années, les objets connectés constituent une entrée de choix pour pirater les réseaux Wi-Fi domestiques. D’ici à 2020, le monde comptera cinq fois plus d’objets connectés que la population mondiale, d'après les prévisions d'IDC. La connectivité s’étend progressivement à tous les objets du quotidien. Enceintes intelligentes, ampoules et thermostats connectés, ustensiles de cuisine, caméras pour enfants, serrures intelligentes, voitures, etc. Il est donc nécessaire pour le public d'être sensibilisé sur la nécessité de mieux protéger ces appareils. Une part de responsabilité incombe également aux constructeurs qui autorisent par exemple l'utilisation des identifiants et mots de passe par défaut sur leurs identifiants au lieu d'imposer de changer le mot de passe par exemple.
Cette situation a permis par exemple permis d'amplifier les attaques du botnet Mirai qui se déploie sur des dispositifs vulnérables en analysant en continu internet pour rechercher des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en bots, les obligeant à communiquer avec un serveur de contrôle central qui peut être utilisé comme lieu de préparation pour lancer des attaques DDoS puissantes qui peuvent entre autres paralyser un site.
Source : TC
Et vous ?
Cette situation vient-elle encore rappeler combien avoir un mot de passe fort et unique est important ?
Une piqûre de rappel pour les fabricants qui n'exigent pas de mot de passe fort ?
Quel serait, selon vous, le consensus idéal entre les fabricants et les utilisateurs en matière de sécurité ?
Voir aussi :
De nombreux systèmes militaires américains critiques pour la sécurité utilisent désormais Linux, un système d'exploitation qui répond au mieux aux exigences du gouvernement ?
Plus de 267 millions de noms et de numéros de téléphone provenant de Facebook ont été divulgués en ligne, selon des chercheurs en sécurité
La Quadrature du Net et 80 organisations demandent l'interdiction de la reconnaissance faciale de la sécurité dans une lettre ouverte aux gouvernement et Parlement français
Sécurité : les auteurs de rançongiciels exposent désormais les institutions qui refusent de payer en publiant leurs noms ainsi que leurs données sur des sites web traditionnels