L’équipe IoT Vulnerability Research Team de Bitdefender (en partenariat avec PCMag) a identifié la brèche de sécurité pouvant conduire à une escalade de privilège.
Le fabricant a été informé de cette découverte le 20 décembre et l’a confirmée trois jours plus tard. Le 17 janvier, un correctif était déployé et une publication coordonnée a été décidée pour le 23 avril.
Commentaires (6)
#1
j’ai revendu mes stations Netatmo pour ça justement. Tout passe par leur cloud, et c’est bien dommage. J’avais lu y’a quelques temps un articule sur leurs processus de sécurité, ils ont l’air sérieux. N’empêche que j’aime bien contrôler mes données, surtout quand c’est hébergé chez moi, et que le matériel embarque des informations sur la présence ou non au domicile…
#2
Etant en train de développer une application UWP pour Netatmo, très peu de données partent dans le cloud.
En fait, uniquement la miniature (donc le visage) lié à chaque événement ainsi que le nom associé si c’est une personne connue (généralement le prénom/surnom), ceci afin que la notification puisse l’afficher dans leurs diverses applications. Toutes les vidéos sont uniquement en local.
Et la liste des événements évidemment, mais sans informations personnelles dedans.
#3
Euh, nom + photo de toutes ses connaissances qui passent à la maison, c’est déjà beaucoup, d’ailleurs en regard du RGPD, ca ne constitue pas un traitement de données personnelles nécessitant l’accord des personnes concernées?
#4
De mémoire, il est indiqué qu’il faut prévenir les gens que tu as ce genre de matériel. Perso, je supprime tous les gens que je ne veux pas conserver par sécurité, genre le livreur Amazon !
Après, difficile de faire moins, sinon, comment tu aurais les infos dans la notification ? Il faudrait que la notification n’indique rien et forcément ouvrir l’application pour avoir le détail et donc qu’elle se connecte à ta caméra même pour avoir le détail de liste des événements.
Je trouve que c’est un juste milieu entre confort d’utilisation et vie privée.
#5
Oui malheureusement, renier sur la sécurité de ses données et la vie privée pour du confort et une sensation (souvent fausse) de sécurité physique est dans l’ère du temps…Et si un de mes amis avait ce genre de matériel, je lui demanderais de ne pas associer mon nom (au pire il m’appellera Toto) à ma trogne, stockage chez un tiers avec toutes les news sur les fuites de données passées, non merci.
#6
Vu que tu es limité à 20 personnes identifiées, ça m’étonnerait qu’il te rajoute ! Ça n’a pas d’intérêt, il ne faut mettre que ceux qui vivent où se trouve la caméra.