Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un chercheur en sécurité a découvert plus de 1500 identifiants Amazon Ring en vente sur le Dark Net
Permettant d'accéder à l'ensemble des appareils connectés aux sonnettes

Le , par Stéphane le calme

85PARTAGES

12  0 
Ring est une startup d'origine ukrainienne spécialisée dans la sécurité à domicile qui vend des sonnettes permettant de capturer de la vidéo et de l'audio. Les clips peuvent être diffusés sur les smartphones et autres appareils, tandis que la sonnette permet même aux propriétaires de bavarder à distance avec ceux qui se tiennent à leur porte. Amazon a racheté la société l'année dernière pour un montant de 1 milliard de dollars.

Des hackers s’amusaient depuis plusieurs semaines à terroriser quelques habitants, en prenant le contrôle de leur sonnette connectée. Aujourd’hui nous savons pourquoi… Les sonnettes connectées d’Amazon ont été piratées et un chercheur en sécurité de Bitdefender a découvert que 1 562 adresses e-mail et les mots de passe correspondants étaient à vendre sur le dark web depuis ce mardi 17 décembre 2019. En les utilisant, il est possible de se connecter et d’accéder aux caméras. Plus inquiétant encore : les accès permettent aux pirates d’accéder à l’ensemble des appareils connectés reliés aux sonnettes Ring. En se connectant au compte, il est aussi possible de consulter des données personnelles telles que le numéro de téléphone, l’adresse ou les informations de paiement du propriétaire.

Le chercheur à l’origine de cette découverte a présenté le problème à Amazon, qui lui a demandé de ne surtout pas l’exposer à la presse. À l’heure actuelle, les identifiants sont toujours disponibles sur le dark web et le problème n’a toujours pas été résolu par les équipes de sécurité de Ring. Impossible de savoir comment les données ont pu être exposées. Il est possible que les hackers les aient tout simplement devinées, ou qu’ils aient testé des identifiants récupérés lors de précédentes fuites de données en provenance d’autres services.

En effet, le 19 décembre dernier, la presse américaine a rapporté que les informations de connexion de milliers de propriétaires de caméras Ring ont été publiées en ligne de façon frauduleuse. Les informations en questions comprennent 3 672 adresses e-mail, des mots de passe, des fuseaux horaires, et même les noms donnés aux caméras Ring par leur propriétaire comme « cuisine » ou « porte d’entrée ».

Si vous possédez un appareil de marque Ring, il est évidemment fortement conseillé de réinitialiser votre mot de passe dès à présent même si l’entreprise ne vous a pas contacté. Pour éviter le risque qu’un hacker devine vos identifiants, choisissez un mot de passe unique et robuste. Optez aussi pour l’authentification à deux facteurs proposée dans les paramètres, pour ajouter une couche supplémentaire de sécurité faisant appel par exemple à votre téléphone portable.


La liste du dark web

Des médias américains ont contacté une dizaine de personnes concernées par cette cyberattaque pour confirmer que les mots de passe correspondaient bien à leur adresse e-mail. Les résultats se sont avérés être positifs dans 100 % des cas. Le niveau de sécurité de la quasi-totalité des mots de passe était très faible et ces derniers étaient potentiellement faciles à deviner. Le porte-parole de Ring a expliqué que : « Ring n'a pas subi de violation de données. Notre équipe de sécurité a enquêté sur ces incidents et nous n'avons aucune preuve d'une intrusion ou d'une compromission non autorisée des systèmes ou du réseau de Ring. Il n'est pas rare que des acteurs malveillants collectent des données sur les violations de données d'autres sociétés et créent des listes comme celle-ci afin que d'autres acteurs malveillants puissent tenter d'accéder à d'autres services ».

Et de préciser que « nous avons informé l’ensemble de nos clients de cette cyberattaque. Nous avons pu réinitialiser leur mot de passe. De plus, nous continuons à surveiller et à bloquer les tentatives de connexion non autorisées aux comptes Ring ». Étrangement, parmi les clients contactés par les médias américains, aucun n’avait reçu d’appel de la part de Ring.

En janvier 2019, un rapport de The Intercept a affirmé que la société Ring a permis à ses employés de regarder des images en direct à partir des caméras des clients. Selon The Intercept, des ingénieurs de Ring et des cadres auraient eu accès à des flux non filtrés et en continu des séquences de certains utilisateurs. Pour quelqu'un à qui cet accès de haut niveau a été donné, seule l'adresse de messagerie d'un client de Ring était requise pour regarder les caméras de son domicile. Les vidéos non chiffrées étaient partagées entre les employés sur les serveurs de la société et comprenaient des séquences vidéo provenant de l'extérieur et dans certains cas, de l'intérieur du domicile des utilisateurs.

Pendant tout ce temps, les utilisateurs n’avaient aucune idée que les employés de Ring regardaient tout ce qui se passait chez eux à travers leurs caméras. Ce comportement douteux de l'entreprise Ring en matière de confidentialité des données date de bien avant le rachat de la société par Amazon. Une source de The Intercept déclare qu'en 2016, Ring a fourni à son équipe de recherche et de développement basée en Ukraine un accès pratiquement illimité à un dossier du service de stockage Cloud S3 d’Amazon contenant toutes les vidéos créées par toutes les caméras Ring du monde entier.


Selon The Intercept, le fait que des employés de l'entreprise aient pu avoir un accès illimité à ces images est dû à la reconnaissance de modèles qui n'est pas encore au point. Les algorithmes ne réussissant pas bien à identifier les personnes, les collaborateurs de l'entreprise doivent donc visionner les vidéos et désigner les objets. C'est justement au cours de ces opérations que sont survenus les débordements et que les employés supposés garder confidentiel ce qu'ils ont pu voir, ont commencé à montrer à leurs collègues le contenu des vidéo.

Depuis plusieurs années, les objets connectés constituent une entrée de choix pour pirater les réseaux Wi-Fi domestiques. D’ici à 2020, le monde comptera cinq fois plus d’objets connectés que la population mondiale, d'après les prévisions d'IDC. La connectivité s’étend progressivement à tous les objets du quotidien. Enceintes intelligentes, ampoules et thermostats connectés, ustensiles de cuisine, caméras pour enfants, serrures intelligentes, voitures, etc. Il est donc nécessaire pour le public d'être sensibilisé sur la nécessité de mieux protéger ces appareils. Une part de responsabilité incombe également aux constructeurs qui autorisent par exemple l'utilisation des identifiants et mots de passe par défaut sur leurs identifiants au lieu d'imposer de changer le mot de passe par exemple.

Cette situation a permis par exemple permis d'amplifier les attaques du botnet Mirai qui se déploie sur des dispositifs vulnérables en analysant en continu internet pour rechercher des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en bots, les obligeant à communiquer avec un serveur de contrôle central qui peut être utilisé comme lieu de préparation pour lancer des attaques DDoS puissantes qui peuvent entre autres paralyser un site.

Source : TC

Et vous ?

Cette situation vient-elle encore rappeler combien avoir un mot de passe fort et unique est important ?
Une piqûre de rappel pour les fabricants qui n'exigent pas de mot de passe fort ?
Quel serait, selon vous, le consensus idéal entre les fabricants et les utilisateurs en matière de sécurité ?

Voir aussi :

De nombreux systèmes militaires américains critiques pour la sécurité utilisent désormais Linux, un système d'exploitation qui répond au mieux aux exigences du gouvernement ?
Plus de 267 millions de noms et de numéros de téléphone provenant de Facebook ont été divulgués en ligne, selon des chercheurs en sécurité
La Quadrature du Net et 80 organisations demandent l'interdiction de la reconnaissance faciale de la sécurité dans une lettre ouverte aux gouvernement et Parlement français
Sécurité : les auteurs de rançongiciels exposent désormais les institutions qui refusent de payer en publiant leurs noms ainsi que leurs données sur des sites web traditionnels

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Stéphane le calme
Chroniqueur Actualités https://www.developpez.com
Le 28/12/2019 à 8:24
Un utilisateur des caméras de sécurité Ring porte plainte en recours collectif contre Amazon,
après qu'un hacker y a accédé pour voir et parler à ses enfants mineurs

Ring est une startup d'origine ukrainienne spécialisée dans la sécurité à domicile qui vend des sonnettes permettant de capturer de la vidéo et de l'audio. Les clips peuvent être diffusés sur les smartphones et autres appareils, tandis que la sonnette permet même aux propriétaires de bavarder à distance avec ceux qui se tiennent à leur porte. Amazon a racheté la société l'année dernière pour un montant de 1 milliard de dollars.

Des hackers s’amusaient depuis plusieurs semaines à terroriser quelques habitants, en prenant le contrôle de leur sonnette connectée. Il y a quelques jours, nous avons su pourquoi. Les sonnettes connectées d’Amazon ont été piratées et un chercheur en sécurité de Bitdefender a découvert que 1 562 adresses e-mail et les mots de passe correspondants étaient à vendre sur le dark web depuis ce mardi 17 décembre 2019. En les utilisant, il est possible de se connecter et d’accéder aux caméras. Plus inquiétant encore : les accès permettent aux pirates d’accéder à l’ensemble des appareils connectés reliés aux sonnettes Ring. En se connectant au compte, il est aussi possible de consulter des données personnelles telles que le numéro de téléphone, l’adresse ou les informations de paiement du propriétaire.

Le chercheur à l’origine de cette découverte a présenté le problème à Amazon, qui lui a demandé de ne surtout pas l’exposer à la presse. À l’heure actuelle, les identifiants sont toujours disponibles sur le dark web et le problème n’a toujours pas été résolu par les équipes de sécurité de Ring. Impossible de savoir comment les données ont pu être exposées. Il est possible que les hackers les aient tout simplement devinées, ou qu’ils aient testé des identifiants récupérés lors de précédentes fuites de données en provenance d’autres services.

En effet, le 19 décembre dernier, la presse américaine a rapporté que les informations de connexion de milliers de propriétaires de caméras Ring ont été publiées en ligne de façon frauduleuse. Les informations en questions comprennent 3 672 adresses e-mail, des mots de passe, des fuseaux horaires, et même les noms donnés aux caméras Ring par leur propriétaire comme « cuisine » ou « porte d’entrée ».


Un utilisateur porte plainte

Amazon.com Inc et son unité de caméras de sécurité résidentielles Ring ont été poursuivis en justice par un propriétaire de l'Alabama qui a déclaré que la conception défectueuse des caméras rend les acheteurs vulnérables aux cyberattaques.

Dans un recours collectif proposé jeudi, John Baker Orange a déclaré qu'un hacker avait récemment accédé à sa caméra Ring alors que ses enfants, âgés de 7, 9 et 10 ans, jouaient au basket-ball dans l'allée, et grâce à son système de haut-parleurs les a encouragés à se rapprocher de l'appareil photo.

Orange, qui a déboursé 249 $ pour faire l'acquisition de son appareil photo en juillet, a déclaré que les caméras ne fonctionnent que lorsqu'elles sont connectées à Internet et qu'elles sont « fatalement défectueuses » car elles ne protègent pas contre les cyberattaques, malgré les assurances de Ring qui donnait comme arguments la « tranquillité d'esprit » et la « sécurité intelligente ici, là, partout ».

La plainte déposée devant le tribunal fédéral de Los Angeles demande des dommages non spécifiés à Ring et à Amazon basée à Seattle, ainsi qu'une meilleure sécurité pour les caméras Ring nouvelles et existantes.

La plainte a fait suite à plusieurs incidents signalés de hackers qui ont accédé à des maisons via des caméras Ring, incidents parmi lesquels un homme a proféré des insultes raciales à plusieurs reprises à une fillette du Mississippi de 8 ans, affirmant qu'il était le Père Noël.

« Une entreprise qui vend un appareil censé protéger les occupants d'une maison ne devrait pas devenir une plateforme susceptible de mettre ces occupants en danger », a déclaré John Yanchunis, avocat d'Orange, dans une interview.

Orange, qui vit dans le comté de Jefferson, en Alabama, a déclaré qu'il avait changé son mot de passe « moyen » et commencé à utiliser l'authentification à deux facteurs pour sa caméra après avoir appris l'incident impliquant ses enfants.

« De nombreux appareils sont connectés à Internet, et les consommateurs ne savent tout simplement pas comment ils peuvent être exploités si facilement », a déclaré Yanchunis.

Source : Reuters

Et vous ?

Qu'en pensez-vous ? La responsabilité de la sécurité incombe-t-elle à l'utilisateur ou au fabricant ? Dans quelle mesure ?

Voir aussi :

De nombreux systèmes militaires américains critiques pour la sécurité utilisent désormais Linux, un système d'exploitation qui répond au mieux aux exigences du gouvernement ?
Plus de 267 millions de noms et de numéros de téléphone provenant de Facebook ont été divulgués en ligne, selon des chercheurs en sécurité
La Quadrature du Net et 80 organisations demandent l'interdiction de la reconnaissance faciale de la sécurité dans une lettre ouverte aux gouvernement et Parlement français
Sécurité : les auteurs de rançongiciels exposent désormais les institutions qui refusent de payer en publiant leurs noms ainsi que leurs données sur des sites web traditionnels
10  0 
Avatar de weed
Membre éprouvé https://www.developpez.com
Le 31/12/2019 à 10:38
Citation Envoyé par Thorna Voir le message
Si, maintenant, on le sait tous, et depuis des années.
En es tu certain que Madame Michu soit au courant que les objets connectés (enceintes connectées pour Deezer/Spotify, enceintes intelligentes Google/Amazon, ...) sont des outils pour puiser des informations sur eux?
Pourquoi autant d'utilisateurs font dans ce cas abstractions à ce détail et sont toujours aussi friands de ce type de produit?
3  0 
Avatar de Jon Shannow
Membre extrêmement actif https://www.developpez.com
Le 09/01/2020 à 16:24
Principe de base n°1 : Si c'est Amazon, j'en veux pas !
2  0 
Avatar de Edrixal
Membre éprouvé https://www.developpez.com
Le 09/01/2020 à 10:49
Citation Envoyé par Stan Adkens Voir le message
La lettre de Ring vous rassure-t-elle pour que vous continuiez à utiliser les sonnettes Ring en toute sérénité ?
Ont parle bien de ses sonnettes ?
Si oui, rien ne me convaincra d'utiliser ce type de matériel en toute sérénité. Comme n'importe quel matériel connecté.

Citation Envoyé par Stan Adkens Voir le message
Ring pourrait-il être efficace sans avoir accès à vos vidéos ? Pourquoi ?
Avoir accès aux vidéos des utilisateurs peut être utile. On l'a vue y'a pas si longtemps. En dehors de ça, aucun intérêt. Enfin aucun pour les utilisateur. Pour l'entreprise c'est toujours un œil sur la vie privée de ses utilisateurs et donc des données perso collecté (Heure d'arriver et de départ, différente habitude de vie comme le voisin qui passe tous les mercredi après midi ou les courses qui sont faite tous les jeudi soir, ect...) qui peuvent être revendu ou utiliser pour affiner les profils.
1  0 
Avatar de Thorna
Membre éprouvé https://www.developpez.com
Le 30/12/2019 à 15:32
Citation Envoyé par Stéphane le calme Voir le message
«De nombreux appareils sont connectés à Internet, et les consommateurs ne savent tout simplement pas comment ils peuvent être exploités si facilement », a déclaré Yanchunis.
Si, maintenant, on le sait tous, et depuis des années.
0  0 
Avatar de hotcryx
Membre extrêmement actif https://www.developpez.com
Le 09/01/2020 à 16:09
"Ring d’Amazon a congédiés des employés"

S'ils pouvaient aussi congédier la Team de support Android, c'est désastreux!!!

Vous devriez en faire un article.

Ils ne répondent pas aux messages, si ce n'est "veuillez passer par Contact Us form", ils cloturent le topic du forum et ne recontactent pas les dev.
0  0