La société de sécurité basée au Royaume-Uni NCC Group et le groupe de défense des consommateurs Which? ont trouvé des vulnérabilités dans 11 sonnettes «intelligentes» vendues sur des plates-formes populaires comme Amazon et eBay. Voici une liste de certaines des sonnettes concernées :
- Caméra de sonnette vidéo intelligente Victure
- Sonnette vidéo intelligente Qihoo 360 D819
- Sonnette vidéo sans fil Ctronics CT-WDB02
- Sonnette à anneau Wifi V5 sans marque
Une faille pourrait permettre à un attaquant distant de pénétrer dans le réseau sans fil en faisant glisser les informations de connexion. Un autre bogue critique, qui existe depuis des années, pourrait permettre aux attaquants d'intercepter et de manipuler des données sur le réseau. L'enquête s'est concentrée sur les sonnettes fabriquées par des vendeurs souvent obscurs, mais qui ont néanmoins obtenu les meilleures critiques et figuraient en bonne place sur Amazon et eBay. Les chercheurs se sont inquiétés du fait que certains des appareils stockaient des données sensibles, y compris des données de localisation et des données audio et vidéo capturées par la caméra de la sonnette, sur des serveurs non sécurisés. Un appareil fabriqué par une société appelée Victure, par exemple, a envoyé le nom et le mot de passe sans fil d'un utilisateur, non chiffrés, à des serveurs en Chine, selon les chercheurs.
Dans un communiqué, Amazon a déclaré qu'il exigeait que les produits vendus sur son site soient conformes aux lois et réglementations en vigueur, et qu'il dispose d'outils pour détecter "les produits dangereux ou non conformes de la liste dans nos magasins". eBay a déclaré qu'il supprimait les annonces qui enfreignaient ses normes de sécurité, mais que les appareils signalés par les chercheurs n'atteignaient pas ce seuil. Victure n'a pas immédiatement répondu à une demande de commentaire.
Le groupe NCC a déclaré avoir tenté de contacter les différents fournisseurs de sonnettes intelligentes vulnérables, avec un succès mitigé. Le fournisseur anonyme d'un appareil, par exemple, a supprimé une liste en ligne du produit après que les chercheurs aient partagé leurs découvertes.
Source : which.co.uk
