Une faille de sécurité découverte dans les sonnettes intelligentes expose des millions d'utilisateurs à des cyberattaques

Le marché des sonnettes intelligentes avec caméras intégrées se développe avec de nombreuses marques, appareils, versions et détaillants, ce qui rend difficile pour les acheteurs de trouver des produits sûrs et fiables.

En particulier, selon Consumer Reports, ces appareils manquent de contrôles d'accès de base sur le trafic réseau, ce qui permet à des inconnus d'accéder librement aux vidéos privées des utilisateurs.

Les conclusions de Consumer Reports ?

Selon une enquête de Consumer Reports, des vulnérabilités de sécurité dangereuses ont été découvertes dans des sonnettes intelligentes avec caméras intégrées, permettant potentiellement aux attaquants d'accéder sans autorisation à des séquences vidéo, de contrôler les fonctions de la sonnette ou même de voler des informations personnelles.

Tout a commencé lorsqu'un journaliste de Consumer Reports a reçu un courriel contenant des images de lui saluant la caméra d'une sonnette. Ces images avaient en réalité été envoyées par Steve Blair, ingénieur en sécurité et confidentialité chez Consumer Reports, après avoir réussi à pirater la sonnette à 4 700 kilomètres de distance.

Blair et son collègue ingénieur de test Della Rocca ont creusé plus profondément et ont découvert des vulnérabilités de sécurité dans des appareils électroniques bon marché et peu sûrs provenant de fabricants chinois vendus sur des plateformes de commerce électronique comme Amazon, Walmart, Sears et Shein.

Ces sonnettes ne disposent pas d'un numéro d'identification unique (ID) attribué à chaque appareil électronique par la Federal Communications Commission (FCC), ce qui rend leur distribution illégale aux États-Unis. La FCC utilise l'ID pour suivre les appareils vendus sur le marché américain et s'assurer qu'ils répondent aux normes de sécurité.

L'absence d'identifiant FCC sur les sonnettes intelligentes constitue un problème grave, car cela signifie que ces appareils pourraient ne pas répondre aux normes de sécurité. Cela pourrait exposer les utilisateurs à des cyberattaques ou au vol de leurs informations personnelles.

Des chercheurs ont découvert des failles de sécurité dans au moins dix sonnettes intelligentes avec caméra intégrée vendues sous les marques chinoises Eken et Tuck. Toutes les sonnettes analysées étaient contrôlées via l'application mobile Aiwit, propriété d'Eken. De plus, deux produits d'autres marques chinoises, Fishbot et Rakeblue, présentaient également des failles de sécurité similaires.

Eken et Tuck sont des marques de sonnettes intelligentes qui ont enregistré de fortes ventes, avec de nombreuses références sur Amazon, générant plus de 4 200 ventes rien qu'en janvier 2024. Ces sonnettes sont également disponibles sur Walmart.com, sears.com et sur les plateformes mondiales Shein et Temu sous différents noms comme Andoe, Gemee et Luckwolf.

Des milliers de ces sonnettes intelligentes sont vendues chaque mois sur Amazon et d'autres plateformes de commerce électronique, dont Walmart, Sears et des sites de commerce électronique internationaux populaires comme Shein et Temu. Les experts en sécurité affirment qu'elles ne représentent qu'une goutte d'eau dans l'océan des produits électroniques bon marché et peu sûrs des fabricants chinois, vendus sur divers marchés à travers le monde.

Dangers potentiels

Toute personne disposant d'un accès physique à la sonnette peut prendre le contrôle de l'appareil sans outils spécialisés ni compétences de piratage avancées. Il lui suffit de télécharger l'application et de coupler l'appareil à son téléphone pour visionner indéfiniment le flux vidéo de la caméra.

Un intrus pourrait détourner une sonnette pour surveiller les activités des membres de la famille, révélant ainsi des adresses IP et des noms de réseaux Wi-Fi non chiffrés. Une sécurité défaillante sur les serveurs des hébergeurs vidéo pourrait aggraver la menace.

L'application pour smartphone Aiwit d'Eken permet d'associer la sonnette à des points d'accès Wi-Fi, permettant ainsi à quiconque d'accéder au flux vidéo sans mot de passe ni compte. Un intrus peut déterminer le numéro de série de l'appareil et accéder aux images fixes du flux vidéo, même si le propriétaire initial reprend le contrôle de l'appareil.

Justin Brookman, directeur de la politique technologique chez Consumer Reports, a déclaré que les plateformes de commerce électronique, en particulier les grands noms comme Amazon, devraient être tenues responsables des dommages causés par leurs produits. Eken, Tuck, Amazon, Walmart, Sears, Shein, Temu et la FCC ont également été informés de ces problèmes par Consumer Reports.

Suite à une notification de Consumer Reports, la plateforme de e-commerce chinoise Temu a retiré de son site web toutes les sonnettes utilisant l'application Aiwit et fabriquées par Eken. Walmart a également indiqué que les articles non conformes aux normes de sécurité, de fiabilité et de réglementation seraient supprimés et bloqués. D'autres plateformes de e-commerce, comme Amazon, Sears et Shein, n'ont pas encore réagi officiellement à ce problème.

Comment sécuriser votre caméra de sonnette ?

Si vous possédez une de ces sonnettes, Consumer Reports recommande de la déconnecter de votre Wi-Fi domestique et de la retirer de votre porte. Consumer Reports a évalué les sonnettes intelligentes de marques comme Logitech, SimpliSafe et Ring comme offrant une sécurité bien supérieure.

Bien qu’une sécurité à 100 % soit extrêmement difficile à atteindre, voici quelques mesures que vous pouvez prendre pour garantir que votre sonnette est protégée contre les pirates et l’espionnage par des tiers :

Choisissez une marque réputée

Évitez d’utiliser des sonnettes intelligentes bon marché ou sans marque, en particulier celles provenant de fabricants inconnus.

Recherchez des appareils de marques connues qui ont pour habitude de privilégier la sécurité.

Vérifiez les fonctionnalités de sécurité

Assurez-vous que votre sonnette utilise un cryptage fort pour transmettre et stocker la vidéo.

Recherchez des fonctionnalités telles que l’authentification à deux facteurs (2FA) pour les connexions et les alertes d’activité.

Sécurisez votre réseau Wi-Fi

Utilisez un mot de passe fort pour votre réseau Wi-Fi et activez le cryptage (WPA2 ou WPA3).

Envisagez de créer un réseau invité distinct pour les appareils tels que les sonnettes, complètement séparé du réseau principal qui contient vos données sensibles.

Gérer les autorisations des applications

Accordez uniquement à l'application de sonnette les autorisations minimales dont elle a besoin, telles que l'accès à la caméra et au microphone.

Évitez les applications de développeurs inconnus et utilisez les applications officielles du fabricant.

Gardez toujours votre firmware à jour

Mettez régulièrement à jour le micrologiciel de votre sonnette pour vous assurer de disposer des derniers correctifs de sécurité et corrections de bogues.

Activez les mises à jour automatiques si elles sont disponibles pour rester protégé.

Surveillance de l'activité

Gardez un œil sur qui a accès à votre sonnette et surveillez les journaux d’activité.

Recherchez toute tentative de connexion suspecte ou activité inhabituelle.

Vérifiez les paramètres de confidentialité

Ajustez les paramètres de confidentialité de votre sonnette pour contrôler les zones enregistrées et la durée de stockage des images.

Désactivez les fonctionnalités dont vous n’avez pas besoin, comme la détection de mouvement dans les espaces publics.

Recherchez le numéro d'identification du produit affiché sur votre sonnette. Les appareils sans ce numéro peuvent être illégaux et ne pas être dotés de mesures de sécurité adéquates.

Assurez-vous que votre sonnette est physiquement sécurisée et ne peut pas être facilement falsifiée.