Un fait divers aux États-Unis a rappelé les risques des objets connectés : une caméra Ring a pu être contrôlée par un intrus. Mais pour Amazon, le produit en lui-même reste sûr : c'est sans doute la mauvaise hygiène informatique de son propriétaire qui est en cause.

Envie d’équiper la chambre de votre bambin d’une caméra connectée, de façon à avoir toujours un œil sur ce qu’il fait ? Vous trouverez de nombreuses références dans le commerce, mais il vous faudra avoir bien en tête les limites et des risques de ce genre de produit. Car dès lors que ces appareils sont reliés au réseau, ils peuvent être la cible de pirates informatiques.

Cette réalité a été rappelée par un fait divers survenu aux États-Unis. Le 10 décembre, la journaliste Jessica Holley a partagé sur Twitter une séquence vidéo montrant une jeune fille dans sa chambre. On l’entend parler à un homme par l’entremise du micro et des haut-parleurs d’une caméra Ring — un fabricant d’objets connectés tombé dans l’escarcelle d’Amazon début 2018.

La scène est troublante : on entend un homme se présenter comme le Père Noël et demander à la petite fille si elle veut être son ami. Mais l’enfant ne s’en laisse pas conter et finit par appeler sa mère. La séquence, courte, ne permet pas de savoir comment cela se termine. Selon Jessica Hollay, c’est la mère de l’enfant, qui est âgée de huit ans, qui lui a envoyé cette vidéo.

À en croire le récit de la mère de famille, l’intrus n’a pas mis beaucoup de temps à s’inviter dans la caméra connectée : l’incident s’est produit à peine quatre jours après l’installation de l’appareil. Un délai étonnamment court, qui interroge évidemment sur le niveau de sécurité de ce type d’appareil, mais aussi sur les intentions du pirate : visait-il cette famille ? Est-il tombé dessus par hasard ? Est-ce une farce ?

Toujours est-il que l’affaire a reçu une certaine attention médiatique. Ring a d’ailleurs été sollicité par Business Insider pour une réaction et l’entreprise a simplement fait part de sa détermination à ajouter des mécanismes de sécurité supplémentaires pour garantir la sécurité des comptes et des appareils de sa clientèle. La nature de ces dispositifs n’a pas été détaillée par l’entreprise.

Une hygiène informatique insuffisante ?

Reste une question : comment l’intrus a-t-il réussi à entrer dans la caméra connectée ? A-t-il profité d’une vulnérabilité non résolue ou que Ring ne connaissait pas ? Ou a-t-il plutôt profité de la mauvaise hygiène informatique qu’ont les particuliers en général, parce que ceux-ci utilisent généralement le même mot de passe sur tous les services et produits qu’ils utilisent, par commodité ?

C’est sur cette hypothèse que se positionne Ring, plutôt que sur la faiblesse intrinsèque de son produit. « Notre équipe de sécurité a enquêté sur cet incident et nous n’avons aucune preuve d’une intrusion non autorisée ou d’une faille dans les systèmes ou dans le réseau de Ring  » a indiqué l’entreprise à Numerama. Ce serait donc une mauvaise configuration du matériel qui serait en cause.

Mots de passe faibles
Pour Amazon, les parents n’ont probablement pas utilisé un mot de passe assez fort et unique pour sécuriser l’accès à la caméra connectée. // Source : Kaspersky

« Malheureusement, lorsque le même nom d’utilisateur et le même mot de passe sont réutilisés sur plusieurs services, il est possible que des individus malveillants aient accès à plusieurs comptes », observe ainsi l’entreprise. Cette dernière suggère que c’est par un service tiers déjà piraté, non lié à Ring, que le hackeur a pu passer, en récupérant leurs données de connexion.

À supposer que cela soit effectivement le cas, Ring n’est toutefois pas dégagé de toutes ses responsabilités. En tant que constructeur, il doit faire de son mieux pour limiter la surface d’attaque, le grand public étant de fait loin d’être à la pointe de la sécurité informatique. Ce qui veut dire éviter les mots de passe par défaut ou trop simples (peut-être faut-il bannir les plus communs et les plus courts).

Cela veut aussi dire imposer la double authentification et ne pas simplement la suggérer ou encourager son utilisation — Ring propose cette fonction, mais uniquement en option — de façon à garder une deuxième couche de sécurité au cas où son mot de passe est divulgué. Certes, dela rajoute une relative contrainte, mais c’est bien peu de choses par rapport aux incidents qui pourraient se produire dans le cas contraire.

Car Ring a indiqué qu’il avait bien envoyé une alerte par e-mail pour signaler à la famille la détection d’une activité inhabituelle sur le compte. « Dès que nous avons eu connaissance de l’incident, nous avons pris les mesures appropriées pour bloquer rapidement les pirates ayant affecté les comptes Ring identifiés et les utilisateurs affectés par cet incident ont été contactés ». Mais c’était déjà trop tard — et bien insuffisant.

(mise à jour avec la réaction de Ring)

Partager sur les réseaux sociaux

La suite en vidéo