Amazon Ring : la sonnette connectée a des soucis de sécurité
Des chercheurs en sécurité ont découvert que l'appareil communique les mots de passe du réseau Wi-Fi en clair lorsqu'il s'il connecte.
En matière de sécurité, aucun appareil n’est à l’abri d’un bogue ou d’une faille, et la découverte d’une équipe de chercheurs sur la sonnette connectée Amazon Ring vient nous le rappeler. TechCrunch rapporte qu’une équipe au sein de l’éditeur de logiciel de sécurité Bitdefender a découvert une vulnérabilité de taille sur les appareils : lorsque la sonnette se connecte au réseau local, il transmet la clé d’identification en texte clair, permettant à des hackers d’intercepter celle-ci et d’avoir accès à la box Internet, pour lancer des attaques et surveiller son propriétaire. “Lors de la première configuration du périphérique, l’application smartphone doit envoyer les informations d’identification du réseau sans fil. Cela se fait de manière non sécurisée, par un point d’accès non protégé“, a déclaré Bitdefender. “Une fois que ce réseau est opérationnel, l’application se connecte automatiquement, interroge le périphérique, puis envoie les informations d’identification au réseau local.”
Un risque réel
La totalité de cette opération se fait sur un canal non chiffré, exposant la clé aux personnes malintentionnés. Avec des suites de sécurité et de pentesting telles que Kali Linux, Parrot OS ou BlackArch, même une personne non spécialisée peut effectuer ce type d’attaques, notamment les fameux script kiddies, des jeunes personnes désireuses d’apprendre quitte à faire des dégâts ou des opérations illégales.
Un correctif publié en septembre
TechCrunch note qu’un patch a été publié en septembre, mais on apprend aujourd’hui seulement l’existence de la vulnérabilité. Bien que les smart devices sont conçus pour rendre nos vies plus faciles et nos maisons plus sûres, les chercheurs ne cessent de révéler des bogues dans leur conception. On apprenait le mois dernier que des applications installées sur les assistants avaient permis à des chercheurs de récolter des conversations privées et mots de passe et, mardi que les assistants vocaux Google Home, Siri et Alexa peuvent être piratés par des lasers. Des risques réels pour la sécurité personnelle, donc.