Une faille dans les serrures Amazon Ring laissait entrer les hackers chez vous
publié le 11 novembre 2019 à 16h00.
Ring
Les serrures connectées offrent un certain nombre d'avantages, notamment ceux de savoir précisément quand ladite serrure a été ouverte ou verrouillée et d'ouvrir à distance. Elles sont malheureusement aussi sujettes à des failles de sécurité, et donc à des hacks...
Bitdefender a récemment fait la démonstration d’une intrusion sur le réseau WiFi personnel d’une maison via une serrure connectée Amazon Ring. Et comme le rappelait à très juste titre à Gizmodo le chercheur et chef de la sécurité chez Bitdefender Jay Balan, une fois qu’une personne malintentionnée a accès au réseau de la maison, “c’est game over“. La faille en question a été découverte suite à une demande de PCMag de s’intéresser de près à l’appareil. La vulnérabilité a d’ailleurs été corrigée depuis, heureusement.
Les serrures Amazon Ring étaient vulnérables
Le processus était assez fastidieux mais relativement simple dans la mesure où la serrure Ring communique avec les services cloud pour opérer. La seule action non sécurisée entre l’application et l’appareil, c’est l’authentification. Un hacker devrait alors faire sortir l’appareil de votre réseau en multipliant les messages de dé-authentification du réseau. La serrure apparaîtrait alors hors ligne. Ensuite, le hacker devrait rester à portée de votre WiFi le temps que vous vous rendiez compte qu’elle est hors ligne. Et lorsque vous saisissez vos login et mot de passe sur Ring, le hacker devrait les récupérer.
Et pouvaient permettre à un hacker d’entrer sur votre réseau personnel
“Nous n’avons découvert aucune autre vulnérabilité mais il y a un million de scenarii possibles. […] Imaginons qu’il y ait une enceinte connectée vulnérable sur le réseau de la maison ; de nombreuses enceintes de ce genre acceptent la musique sans aucune authentification. Un scenario très possible serait d’envoyer un fichier audio à cette enceinte qui dirait ‘Alexa, ouvre la porte principale’.” Et Jay Balan d’ajouter : “Il y a un problème fondamental avec la manière dont les gens gèrent leur réseau personnel. Tout le monde est convaincu que ce dernier est sécurisé. C’est pour cette raison que la sécurité est bien plus lâche sur ce genre de réseau. Il n’y a par exemple aucun mot de passe sur votre téléviseur, par exemple, par les gens pensent que c’est privé. Les applications sont, par nature, non sécurisée sur les réseaux privés.” Amazon, de son côté, a rapidement déployé un correctif. Mais c’est définitivement à plus niveau qu’il convient de prendre ses précautions.
