Ring, cette caméra de vidéosurveillance rachetée par Amazon en 2018 et qui sert d'interphone aux particuliers, et de mouchard ès-reconnaissance faciale aux policiers, n'en finit pas de défrayer la chronique.
La semaine passée, Vice révélait que des hackers avaient développé un logiciel pour faciliter le piratage de Ring et que certains live-streamaient les flux vidéos obtenus.
Vice, qui a voulu tester sa sécurité, a depuis découvert qu'elle ne bénéficiait d'aucune protection empêchant des adresses IP inconnues d'essayer de s'y connecter, d'aucun captcha bloquant les attaques par force brute, qu'elle n'indiquait pas non plus qui y était connecté, laissant n'importe quel wanabee hacker en prendre le contrôle.
Non content de pouvoir accéder au flux live des caméras, il est aussi possible de remonter dans le temps et d'accéder aux images archivées, d'écouter ce que le micro enregistre mais également de parler via ses speakers, de localiser l'adresse liée au compte, le n° de téléphone associé...
Commentaires (18)
et pour autant, je predis un certain succès commercial de cette caméra…
Ca fait peur… Rien que pour ca, j’éviterai les marques “bien trop présente sur le marché”, tout autant que les “je ne sais pas d’où ca sort”. Mais là, c’est vraiment du foutage de gueule !
Pfiouuu à ce niveau-là, ça mériterait une interdiction de mise en vente et de gros procès pour faute professionnelle.
système de sécurité sponsorisé et agréé par le ministère de l’ intérieur. En option, l’installation gratuite du système par les services de plomberie du ministère. (Possibilité de livraisons avec le pare-feu Office.)
Mais ce n’est pas possible… si même Amazon commercialise des horreurs pareilles dignes d’une obscure marque chinoise on pourrait se demander si ce ne sont pas TOUS les objets connectés qui sont par nature des passoires !
De toutes manières, une caméra chez soi nécessitant une connexion externe pour se configurer/fonctionner… c’est le meilleur moyen de se retrouver sur Shodan.
Apple avait déjà compris, enfermant l’utilisateur dans son écosystème fermé, que le con était un sacré business (iMac, iPod, iPhone, iPad… iDiot prochainement?). Mais là on vit une époque formidable avec toutes ces merdes! Les gens achètent eux même leur micro espion déguisé en assistant vocal connecté ou la cam trouée aspirant à les fliquer à la chinoise!
Ce truc se connecte à quoi au juste ?
Si c’est au réseau Wifi, ils faudra être connecté au même réseau pour la pirater, sauf si NAT actif sur le truc, mais je ne voit personne le faire.
Ensuite, le problème vient peut être du serveur (constructeur) permettant de voir depuis l’extérieur, mais là ce n’est pas que le produit qui est en cause du coup.
Elle est connecté directement à internet via le wifi du propriétaire et sans abonnement Ring, tu n’enregistres rien.
Bizarre ça fait plus d’un an qu’elle est commercialisé (avec toute la polémique sur son utilisation par la police) et c’est juste maintenant qu’il voit que c’est une passoire ?
Cela ne change pas que depuis l’extérieur (internet) tu ne peux voir un appareil connecté à un réseau interne via Wifi sauf configuration spécifique dans le routeur (box) du client et je doute que les clients touchent à ce genre de paramètres.
Donc la faille vient de l’implémentation du service permettant au dispositif de se connecter à un serveur et permettant donc à quelqu’un depuis l’extérieur de récupérer les infos envoyés par le dit dispositif (app mobile par exemple).
Cela se prouve tout simplement par le fait inévitable qu’en cas d’arrêt de ce fameux service (qui est très courant dans le monde des jouets connectés), plus personne ne pourra se connecter à ces dispositifs et étrangement il n’y aurait plus de faille de sécurité.
A ce niveau là, c’est plus une passoire, c’est un filet de pêche à baleine…
" />
J’avais regardé une intervention à la Devcon, un mec expliquait ses attaques sur des dispositifs de surveillance en prenant un large spectre de matériels; de la caméra vendue au conforama du coin à la caméra pro coûtant plusieurs milliers de dollars le bout.
Même si je ne suis pas un dev, certaines failles m’avaient littéralement laissées sans voix.
A ce niveau de connerie ce n’est pas une erreur ou un oubli (ça arrive même aux meilleurs) mais du foutage de gueule de compétition.
Ça ne m’étonne pas du tout, que ce soit Ring, ou bien une autre, d’ailleurs ! Il y a deux à trois ans, j’avais trouvé un site russe qui diffusait ce qi se passait devant des cams, il y en avait des milliers.. Consternant, on choisissait un pays dans une liste déroulante, on sélectionnait à gauche une cam, et hop, lecture. Je me souviens en vrac d’une boulangerie, d’une chambre d’enfant, d’un bureau… Alors…