Une faille de sécurité découverte dans les sonnettes connectées expose des millions d'utilisateurs à un risque de cyberattaques.
(Baonghean.vn) - Consumer Reports a déclaré avoir découvert des failles de sécurité dans les sonnettes intelligentes qui permettent aux pirates d'obtenir un accès non autorisé, de voler des images et de poser des risques pour la vie privée des utilisateurs.
Le marché des sonnettes intelligentes avec caméras intégrées est en pleine expansion, avec de nombreuses marques, appareils, versions et revendeurs, ce qui rend difficile pour les acheteurs de trouver des produits sûrs et fiables.
En particulier, selon Consumer Reports, ces appareils ne disposent pas de contrôles d'accès de base sur le trafic réseau, ce qui permet à des inconnus d'accéder librement aux vidéos privées des utilisateurs.
Conclusions de Consumer Reports ?
Une enquête de Consumer Reports révèle que des failles de sécurité dangereuses ont été découvertes dans les sonnettes intelligentes équipées de caméras intégrées, permettant potentiellement à des pirates d'accéder sans autorisation aux enregistrements vidéo, de contrôler les fonctions de la sonnette, voire de voler des informations personnelles.
Tout a commencé lorsqu'un journaliste de Consumer Reports a reçu un courriel contenant des images de lui-même faisant signe à une sonnette vidéo. Ces images avaient en réalité été envoyées par Steve Blair, ingénieur en sécurité et confidentialité chez Consumer Reports, après qu'il ait réussi à pirater la sonnette à distance, à 4 700 kilomètres de là.
Blair et sa collègue ingénieure de test, Della Rocca, ont creusé plus profondément et ont découvert des failles de sécurité dans des appareils électroniques bon marché et non sécurisés provenant de fabricants chinois et vendus sur des plateformes de commerce électronique comme Amazon, Walmart, Sears et Shein.
Ces sonnettes ne possèdent pas de numéro d'identification unique (ID) attribué à chaque appareil électronique par la Commission fédérale des communications (FCC), ce qui rend leur distribution illégale aux États-Unis. La FCC utilise cet ID pour suivre les appareils vendus sur le marché américain et s'assurer qu'ils respectent les normes de sécurité.
L'absence d'identifiant FCC sur les sonnettes intelligentes est un problème sérieux car cela signifie que ces appareils peuvent ne pas respecter les normes de sécurité, ce qui pourrait exposer les utilisateurs à des cyberattaques ou au vol de leurs informations personnelles.
Des chercheurs ont découvert des failles de sécurité dans au moins dix sonnettes connectées avec caméra intégrée, vendues sous les marques chinoises Eken et Tuck. Toutes les sonnettes analysées étaient contrôlées via l'application mobile Aiwit, propriété d'Eken. Par ailleurs, deux produits d'autres marques chinoises, Fishbot et Rakeblue, présentaient également des vulnérabilités similaires.
Eken et Tuck sont des marques de sonnettes connectées qui ont connu un fort succès commercial, notamment grâce à leur présence sur Amazon, où elles ont généré plus de 4 200 ventes rien qu'en janvier 2024. Ces sonnettes sont également disponibles sur Walmart.com, sears.com et les plateformes internationales Shein et Temu sous différentes marques telles que Andoe, Gemee et Luckwolf.
Des milliers de ces sonnettes connectées sont vendues chaque mois sur Amazon et d'autres plateformes de commerce électronique, notamment Walmart, Sears et des plateformes mondialement connues comme Shein et Temu. Les experts en sécurité affirment qu'elles ne représentent qu'une infime partie des nombreux appareils électroniques bon marché et peu sécurisés fabriqués par des Chinois et vendus sur divers marchés à travers le monde.
Dangers potentiels
Toute personne ayant un accès physique à la sonnette peut en prendre le contrôle sans outils spécifiques ni compétences avancées en piratage. Il lui suffit de télécharger l'application et de la connecter à son téléphone pour visionner le flux vidéo de la caméra en continu.
Un intrus pourrait pirater une sonnette pour surveiller les allées et venues des membres du foyer, révélant ainsi les adresses IP non cryptées et les noms des réseaux Wi-Fi. Une sécurité insuffisante des serveurs des sociétés d'hébergement vidéo pourrait aggraver la menace.
L'application pour smartphone Aiwit d'Eken permet de connecter la sonnette à des points d'accès Wi-Fi, autorisant ainsi l'accès au flux vidéo sans mot de passe ni compte. Un intrus peut toutefois déterminer le numéro de série de l'appareil et accéder à des images fixes du flux vidéo, même si le propriétaire initial reprend le contrôle de l'appareil.
Justin Brookman, directeur des politiques technologiques chez Consumer Reports, a déclaré que les plateformes de commerce électronique, notamment les géants comme Amazon, devraient être tenues responsables des préjudices causés par leurs produits. Consumer Reports a également informé Eken, Tuck, Amazon, Walmart, Sears, Shein, Temu et la FCC de ces problèmes.
Suite à une notification de Consumer Reports, la plateforme de commerce électronique chinoise Temu a retiré de son site web tous les dispositifs de sonnette utilisant l'application Aiwit et fabriqués par Eken. Par ailleurs, Walmart a annoncé que les articles ne répondant pas aux normes de sécurité, de fiabilité et réglementaires seraient retirés et bloqués de sa plateforme. Amazon, Sears et Shein, quant à eux, n'ont pas encore réagi officiellement à ce problème.
Comment sécuriser sa sonnette vidéo ?
Si vous possédez une sonnette connectée de ce type, Consumer Reports recommande de la déconnecter de votre réseau Wi-Fi domestique et de la retirer de votre porte. Consumer Reports a classé des sonnettes connectées offrant une sécurité bien supérieure, notamment celles de marques comme Logitech, SimpliSafe et Ring.
Bien qu'une sécurité à 100 % soit extrêmement difficile à atteindre, voici quelques mesures que vous pouvez prendre pour protéger votre sonnette contre les pirates informatiques et l'espionnage par des tiers :
Choisissez une marque réputée
Évitez d'utiliser des sonnettes connectées bon marché ou sans marque, surtout celles provenant de fabricants inconnus.
Recherchez des appareils de marques reconnues qui ont toujours accordé la priorité à la sécurité.
Vérifiez les dispositifs de sécurité
Assurez-vous que votre sonnette utilise un cryptage robuste pour transmettre et stocker la vidéo.
Recherchez des fonctionnalités telles que l'authentification à deux facteurs (2FA) pour les connexions et les alertes d'activité.
Sécurisez votre réseau Wi-Fi
Utilisez un mot de passe fort pour votre réseau Wi-Fi et activez le chiffrement (WPA2 ou WPA3).
Envisagez de créer un réseau invité distinct pour les appareils comme les sonnettes, complètement séparé du réseau principal qui contient vos données sensibles.
Gérer les autorisations de l'application
N’accordez à l’application de sonnette que les autorisations minimales dont elle a besoin, comme l’accès à la caméra et au microphone.
Évitez les applications provenant de développeurs inconnus et utilisez les applications officielles du fabricant.
Maintenez toujours votre firmware à jour.
Mettez régulièrement à jour le micrologiciel de votre sonnette pour bénéficier des derniers correctifs de sécurité et de correction de bugs.
Activez les mises à jour automatiques si elles sont disponibles pour rester protégé.
Surveillance des activités
Surveillez qui a accès à votre sonnette et consultez les journaux d'activité.
Surveillez toute tentative de connexion suspecte ou toute activité inhabituelle.
Consulter les paramètres de confidentialité
Ajustez les paramètres de confidentialité de votre sonnette pour contrôler les zones enregistrées et la durée de conservation des enregistrements.
Désactivez les fonctionnalités dont vous n'avez pas besoin, comme la détection de mouvement dans les lieux publics.
Recherchez le numéro d'identification du produit affiché sur votre sonnette. Les appareils dépourvus de ce numéro peuvent être illégaux et ne pas présenter les mesures de sécurité adéquates.
Assurez-vous que votre sonnette est bien fixée et qu'elle ne peut pas être facilement manipulée.
