Amazon Ring : lors de la configuration, le mot de passe Wi-Fi transitait en clair sur le réseau
Le 08 novembre 2019 à 09h14
1 min
Internet
Internet
Le pot aux roses a été découvert par Bitdefender en juin 2019. Après un échange avec les équipes d'Amazon, un correctif a été déployé début septembre. Les détails viennent seulement d'être dévoilés.
Le principe est on ne peut plus simple : lors de la configuration de la sonnette, le smartphone envoie le mot de passe Wi-Fi pour qu'elle puisse se connecter au réseau. Problème, la communication passe par du HTTP classique, sans aucun chiffrement.
Bref, durant cette phase le mot de passe était envoyé en clair, laissant d'éventuelles oreilles indiscrètes le récupérer. Des informations techniques sont disponibles par ici.
Le 08 novembre 2019 à 09h14
Commentaires (4)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 08/11/2019 à 12h53
Amazon n’avait pas les moyens de payer un développeur une journée de plus pour qu’il finisse de mettre ça au propre…
" />
Le 08/11/2019 à 17h01
Un certificat Let’s Encrypt, ça coûte trop cher pour Amazon.
" />
Le 08/11/2019 à 19h02
D’un autre côté, le risque est assez limité.
" />
Il faudrait surveiller la cible au moment précis où la sonnette est installée (ou le code modifié) pour obtenir le code. Statistiquement c’est assez tendu, sauf à être suivi de près par un ennemi mortel ou la DRI et là je crois qu’installer une sonnette connecté n’est pas la priorité du moment pour la personne concernée
Après ça n’excuse rien, ça montre que certains réflexes ne sont pas encore acquis côté développeurs/ingénieurs…
Le 12/11/2019 à 17h13