Discussion :

[Ryu2000]

mais ont est tous avide de quelques chose, sinon ont se sent vide et on se laisse mourir.

Je ne suis pas convaincu.
On peut être satisfait avec peu de choses, un peu comme dans la chanson de Joe Dassin "L'équipe à Jojo" par exemple.
Il y a plein d'humains qui seraient content d'avoir de quoi manger, de quoi se loger, de quoi se laver. Tu fais ton jardin, t'élèves des poules, tu vis en communauté avec des potes et t'es bien...

Tout le monde n'a pas envie d'être le roi du monde, ou de posséder de plus en plus de choses.
Avec beaucoup d'argent vient la coke et les putes, mais ça ne doit pas parler à tout le monde (ça doit quand même être fun de se taper des jeunes super bonnes, sans les histoires pénible de séduction ou quoi que ce soit).
Bref je ne pense pas que chaque humain a un besoin de domination. Tout le monde ne souhaite pas être meilleur que les autres. Tu peux juste aller te promener en foret et être totalement épanoui.

===
Moi tout ce que je disais c'est que souvent quand une entreprise devient trop grosse, elle n'a plus de conscience, ou d'étique, ça devient un monstre prêt à tout pour le profit.
Mais ce n'est peut-être pas systématique.

[Stéphane le calme]

Amazon aurait-il répondu aux préoccupations d'un de ses ingénieurs au sujet de la caméra connectée Ring ?
L'entreprise publie une mise à jour qui donne plus de contrôle à l'utilisateur

Ring est une startup d'origine ukrainienne spécialisée dans la sécurité à domicile qui vend des sonnettes permettant de capturer de la vidéo et de l'audio. Les clips peuvent être diffusés sur les smartphones et autres appareils, tandis que la sonnette permet même aux propriétaires de bavarder à distance avec ceux qui se tiennent à leur porte. Amazon a racheté la société en 2018 pour un montant de 1 milliard de dollars.

En fin d'année dernière, les sonnettes connectées d’Amazon ont été piratées et un chercheur en sécurité de Bitdefender a découvert que 1 562 adresses e-mail et les mots de passe correspondants étaient à vendre sur le dark web depuis ce mardi 17 décembre 2019. En les utilisant, il est possible de se connecter et d’accéder aux caméras. Plus inquiétant encore : les accès permettent aux pirates d’accéder à l’ensemble des appareils connectés reliés aux sonnettes Ring. En se connectant au compte, il est aussi possible de consulter des données personnelles telles que le numéro de téléphone, l’adresse ou les informations de paiement du propriétaire.

Après cet incident, un utilisateur a porté plainte, avançant que la conception défectueuse des caméras rend les acheteurs vulnérables aux cyberattaques. Dans un recours collectif proposé jeudi, John Baker Orange a déclaré qu'un hacker avait récemment accédé à sa caméra Ring alors que ses enfants, âgés de 7, 9 et 10 ans, jouaient au basket-ball dans l'allée, et grâce à son système de haut-parleurs les a encouragés à se rapprocher de l'appareil photo.

C'est également cet incident qui a mis en lumière les pratiques de certains employés de Ring qui regardaient les vidéos de surveillance des clients. L'entreprise a assuré aux sénateurs que, lorsqu'elle a découvert cet abus, elle a licencié les coupables : « Nous sommes au courant des incidents mentionnés ci-dessous où des employés ont violé nos politiques », ajoutant « qu'au cours des quatre dernières années, Ring a reçu quatre plaintes ou demandes de renseignements concernant l'accès d'un membre de l'équipe aux données vidéo de Ring. Bien que chacune des personnes impliquées dans ces incidents ait été autorisée à consulter les données vidéo, la tentative d'accès à ces données a dépassé ce qui était nécessaire pour leurs fonctions. Dans chaque cas, une fois que Ring a été mis au courant de la conduite présumée, il a rapidement enquêté sur l'incident et, après avoir déterminé que la personne avait enfreint la politique de l'entreprise, il l'a congédiée ».

Un ingénieur Amazon pense que « Ring devrait être fermé »

Le groupe de défense Amazon Employees For Climate Justice a publié des commentaires d'une centaine d'employés (363) Amazon comme un moyen de protester contre la politique de communication externe de l'entreprise. Bien que l'initiative Amazon Employees For Climate Justice soit lancée pour parler des effets de la politique d'Amazon sur la crise climatique, les défenseurs ont indiqué : « il ne s'agit pas seulement du climat : il en va également de notre capacité à parler d'autres questions comme le racisme et le sexisme dans le secteur technologique, le traitement des employés en entrepôt, les dons aux politiciens anti-LGBTQ et la complicité avec l'ICE ».

C'est dans ce contexte que s'est exprimé l'ingénieur Max Eliaser au sujet de Ring, notant que « le déploiement de caméras de sécurité connectées à domicile qui permettent d'interroger des images de manière centralisée n'est tout simplement pas compatible avec une société libre. Les problèmes de confidentialité ne peuvent pas être résolus avec la réglementation et il n'y a pas d'équilibre qui puisse être trouvé. Ring devrait être fermé immédiatement et non ramené ».

La réponse d'Amazon ?

Quelques jours après cette déclaration, Amazon a publié un nouveau centre de contrôle pour Ring. Il a institué quelques paramètres plus soucieux de la confidentialité.

« Chez Ring, notre mission est de rendre les quartiers plus sûrs. Au cœur de cette mission se trouvent nos clients - des voisins dévoués partout qui travaillent ensemble pour rendre leurs communautés plus sûres. Nous pensons que la confidentialité, la sécurité et le contrôle des utilisateurs sont plus que de simples idées; ce sont les outils que nos clients utilisent pour protéger leurs maisons, leurs proches et leurs quartiers.

« C'est pourquoi nous lançons aujourd'hui le nouveau Control Center, une fonctionnalité de l'application Ring qui permet aux clients de gérer les paramètres de confidentialité et de sécurité importants à partir d'un tableau de bord simple et facile à utiliser. Cette fonctionnalité sera déployée pour tous les utilisateurs dans les prochains jours et nécessitera la mise à jour de l'application Ring vers la dernière version sur iOS et Android. Elle peut être trouvée en cliquant sur l'icône du menu déroulant dans le coin supérieur gauche de l'application. Avec Control Center, les clients peuvent :

• vérifier s'ils ont activé l'authentification à deux facteurs pour leur compte Ring ;
• afficher et supprimer tous les appareils et services tiers autorisés à se connecter à leur compte Ring ;
• ajouter et supprimer des utilisateurs partagés sur leur compte ;
• désactiver la réception de notifications de demande de vidéo lorsque la police locale recherche des informations liées à une enquête.

« La sécurité et la confidentialité ont toujours été notre priorité absolue. Le nouveau Control Center est l'une des nombreuses fonctionnalités que nous cherchons à introduire cette année et qui permet aux clients de mieux contrôler la sécurité et la confidentialité de leur appareil ».

L'équipe affirme que le centre de contrôle répertorie l'état d'authentification à deux facteurs de votre compte en haut du nouveau tableau de bord. Si vous n'aviez pas autorisé l'authentification à deux facteurs auparavant, il suffit désormais de quelques clics dans l'application pour accéder facilement à cette fonctionnalité et l'activer pour plus de sécurité. Lorsque l'authentification à deux facteurs est activée, vous devrez fournir le code de vérification unique qui est envoyé par SMS à votre numéro de téléphone lorsque vous ou quelqu'un d'autre tentez de vous connecter à votre compte Ring. Cela réduit la possibilité que quelqu'un accède à votre compte Ring sans votre autorisation.

Si vous souhaitez autoriser des membres de votre famille ou des amis proches à accéder à vos appareils Ring, vous pouvez toujours les ajouter (et les supprimer) en tant qu'utilisateur partagé sur votre compte depuis le centre de contrôle de l'application Ring. Pas besoin de partager vos identifiants de connexion avec qui que ce soit.

Le centre de contrôle est également utile pour ceux qui utilisent plusieurs appareils pour accéder et contrôler leur compte Ring - comme une tablette à la maison, un téléphone portable ou un ordinateur au travail. La nouvelle fonctionnalité vous permet de voir tous les appareils autorisés à se connecter à votre compte Ring et de les déconnecter facilement à tout moment. À partir du centre contrôle, vous pouvez également afficher et déconnecter toute application ou tout service individuel lié à votre compte Ring, comme Alexa, lorsque vous en avez besoin.

Refuser de recevoir des notifications de demande de vidéo lorsque la police locale recherche des infos

L'une de ses nouvelles fonctionnalités implique la possibilité de « refuser de recevoir des notifications de demande de vidéo lorsque la police locale recherche des informations liées à une enquête ». Pour certains, cela peut être un début, ou même une réaction rapide aux commentaires d'Eliaser. Beaucoup voudront peut-être croire que les mots forts d'un employé pourraient apporter une réaction positive.

Malheureusement, ce nouveau centre de contrôle ne donne aux clients que la possibilité de se retirer, plutôt que d'avoir la valeur par défaut inversée. Cependant, il informe au moins les clients des services de police qui ont rejoint l'application Ring Neighbors et sont donc plus susceptibles de faire des demandes.

« L'application Neighbours permet aux utilisateurs de partager et de recevoir des mises à jour locales sur la criminalité et la sécurité, ainsi que de télécharger des vidéos, des photos et des messages texte et d'obtenir des alertes en temps réel de voisins et de sources officielles. Dans les communautés où la police locale utilise l'application Neighbours, les utilisateurs peuvent choisir de partager des informations ou des enregistrements vidéo lorsque la police locale recherche des informations pertinentes pour une enquête dans leur région en utilisant l'outil de demande de vidéo.

« Par exemple, à Westminster, en Californie, l'outil de demande de vidéo a aidé à récupérer des armes volées après que le service de police a reçu des centaines de vidéos de leur demande qui ont permis d'identifier les véhicules impliqués dans le vol d'un coffre-fort. L'outil de demande de vidéo a également été utile à Pembroke Pines, en Floride, où des vidéos partagées par des résidents via l'application Neighbors ont aidé la police à identifier et à arrêter des suspects pour cambriolage et vol.

« Avec l'outil de demande de vidéo, la police ne peut pas voir vos enregistrements vidéo à moins que vous ne choisissiez explicitement de les partager en répondant à une demande vidéo spécifique. Bien que vous ayez toujours eu la possibilité de vous désinscrire de ces demandes après avoir reçu votre première, le centre de contrôle garantit désormais que vous n'avez pas à attendre cette première demande - vous pouvez facilement vous désinscrire dès le départ. Le centre de contrôle vous permet également d'apprendre comment Ring protège vos informations personnelles et vos enregistrements vidéo lorsque la police locale utilise l'outil de demande de vidéo.

« En plus de vous aider à améliorer votre confidentialité et votre sécurité, le nouveau centre de contrôle comprend une Active Law Enforcement Map. Cette carte montre quels services de police ont rejoint l'application Neighbours, y compris ceux de votre région. Nous espérons que cela vous aidera à savoir quand la police travaillera avec votre communauté ».

Ring a insisté sur le fait que « ce n'est que le début. Les futures versions de centre de contrôle offriront aux utilisateurs la possibilité de visualiser et de contrôler encore plus de fonctionnalités de confidentialité et de sécurité ». Mais les clients devront sans aucun doute faire l'effort eux-mêmes.

La société de Jeff Bezos a rarement montré sa volonté de se plier aux préoccupations du public, ce qui peut sembler étrange pour une société qui prétend être entièrement axée sur le client. Cela pourrait peut-être changer un peu. Peut-être que le fait qu'un de ses propres employés a publiquement demandé la fermeture d'un produit clairement intrusif a surpris l'entreprise.

Certains pourraient cependant s'inquiéter du fait qu'en fin de compte Amazon, de concert avec de nombreuses autres sociétés de technologie, pense que les clients sont parfaitement disposés à autoriser l'état de surveillance parce qu'ils sont trop accrochés à la commodité et à toute technologie qui leur permet de faire moins effort. Peut-être cela est vrai jusqu'à ce qu'ils soient enregistrés par la caméra Ring d'un voisin et accusés d'avoir fait quelque chose de mal.

Source : Ring (1, 2)

Et vous ?

Qu'en pensez-vous ? Amazon aurait-il répondu aux préoccupations soulevées par son employé par cette mise à jour ou serait-ce une simple coïncidence ?
Que pensez-vous de la mise à jour en elle-même ?
Seriez-vous disposé à partager les vidéos de votre caméra de surveillance avec la police pour des besoins d'enquête ? Dans quelle mesure ?

[Stéphane le calme]

Amazon conserve des enregistrements de chaque mouvement détecté par ses sonnettes Ring,
ainsi que l'heure exacte à laquelle ils sont enregistrés à la milliseconde près

Les détails ont été révélés via une demande de données soumise par la BBC. Il a également révélé que chaque interaction avec l'application Ring est également stockée, y compris le modèle de téléphone ou de tablette et le réseau mobile utilisés.

Une experte a déclaré que cela donnait à Amazon la possibilité d'avoir un aperçu encore plus large de la vie de ses clients : « Ce qui est le plus intéressant, ce ne sont pas seulement les données elles-mêmes, mais tous les modèles et informations qui peuvent en être tirés », a commenté Frederike Kaltheuner, experte indépendante en matière de confidentialité. « Savoir quand quelqu'un sonne à votre porte, à quelle fréquence et pendant combien de temps, peut indiquer quand quelqu'un est à la maison ».

« Si personne ne sonnait jamais à votre porte, cela dirait probablement aussi quelque chose sur votre vie sociale ». Elle a ajouté que l'on ne savait toujours pas combien de données « anonymisées » supplémentaires étaient également collectées.

« Il ne s'agit pas seulement de confidentialité, mais de la puissance et de la valeur monétaire attachées à ces données ». Amazon déclare utiliser les informations pour évaluer, gérer et améliorer ses produits et services.

La BBC a initialement fait la Data Subject Access Request (DSAR, une demande manuscrite faite par ou au nom d'une personne pour obtenir des informations qu'elle est en droit de demander en vertu de l'article 7 de la loi de 1998 sur la protection des données) à la personne concernée en janvier pour établir une enquête plus large sur la manière dont Amazon collecte et utilise les informations sur ses clients.

Les enregistrements finalement fournis allaient du 28 septembre 2019 au 3 février 2020. Une sonnette vidéo Ring 2 a été utilisée pendant tout ce temps, et une Ring Indoor Cam a été ajoutée au compte au cours de la dernière quinzaine.

Au cours de la période, 1 939 « événements de caméra » ont été documentés.

Ceux-ci comprenaient:

• un mouvement détecté par les capteurs des caméras
• un « tintement » de la sonnette, lorsque son bouton avait été enfoncé par un visiteur
• une action à distance « à la demande » de l'utilisateur pour obtenir un flux vidéo et audio en direct et/ou parler à distance à un visiteur.

Dans chaque cas, la durée d'activation de l'équipement a également été enregistrée.

Ring dit que ses caméras utilisent l'analyse du visage et de la forme du corps pour aider à différencier les humains des autres êtres vivants afin de minimiser les fausses alarmes. Cependant, il n'y avait aucune indication de différents types de mouvement détectés dans les données partagées.

Un échantillon de la base de données «événement», qui a été modifiée pour masquer les ID de périphérique

Coordonnées de la caméra

La plus grande base de données fournie a documenté chaque interaction avec les applications de Ring.

Elle a répertorié 4 906 actions sur une période de 129 jours.

Celles-ci comprenaient:

• chaque ouverture de l'application
• chaque fois que l'utilisateur « zoomait » via une pincée de doigts pour visualiser plus clairement les images
• une variété de différentes classes de tapotements d'écran
• des détails du début et de la fin de chaque vue en direct

Dans chaque cas, le modèle d'appareil utilisé, la version de son système d'exploitation, le type de connexion de données mobile impliquée et le fournisseur de réseau étaient tous répertoriés. Parmi les autres enregistrements figuraient les détails des coordonnées de latitude et de longitude des deux appareils, fournis à 13 décimales. En théorie, cela indiquerait où les produits avaient été installés à 0,00001 mm près.

Lorsqu'elles ont été vérifiées via un outil en ligne, les lectures correspondaient à la bonne propriété. Cependant, comme les mêmes coordonnées ont été données pour les deux appareils (qui étaient basés dans différentes parties du bâtiment) il semble qu'Amazon ne connaisse pas l'emplacement des produits avec ce degré de précision.

La pointe de l’iceberg

Au total, 11 bases de données ont été partagées contenant près de 26 500 champs individuels.

L'avis de confidentialité de Ring indique que d'autres données sont également collectées pour analyse, qui sont anonymisées afin qu'elles ne puissent pas être liées à des comptes individuels

« Les demandes d'accès aux données ne nous montrent que la partie visible de l'iceberg de la quantité de données que les entreprises collectent sur nous », a commenté Kaltheuner. «  Il y a une énorme valeur - et un grand pouvoir - à collecter des données non personnelles à toutes sortes de fins : études de marché, formation et IA », a-t-elle continué.

Et de préciser que « même les données anonymes peuvent avoir des implications sur la vie privée, par exemple sur la vie privée collective, par exemple, d'un bloc de logements, d'un groupe de personnes ou d'un logement ».

Aucun fichier vidéo n'a été inclus dans la réponse DSAR.

Ring a justifié cette omission au motif que son application permet déjà de télécharger les clips jusqu'à 30 jours si l'utilisateur avait un abonnement payant. L’entreprise assure qu’une fois ce délai passé, chaque enregistrement avait été définitivement supprimé. Elle a ajouté que si un utilisateur n'était pas abonné à un plan, Ring ne conservait aucun enregistrement.

L'opération de vente au détail d'Amazon et sa filiale Ring opèrent sous différents contrôleurs de données.

La BBC a demandé si les deux pourraient mettre leurs dossiers à la disposition l'un de l'autre pour pouvoir utiliser conjointement les informations - par exemple, en utilisant les données de Ring pour voir quand une famille était généralement à la maison afin d'aider à planifier les livraisons de colis.

Cependant, l'entreprise a refusé de répondre.

Source : BBC

[Bruno]

Les sonnettes de porte bon marché peuvent être facilement piratées,
selon Consumer Reports

Selon Consumer Reports, les sonnettes vidéo bon marché, vendues entre 30 et 40 dollars sur des plateformes telles qu'Amazon et Walmart, présentent des failles de sécurité alarmantes. L'enquête a ciblé deux marques, Eken et Tuck, qui partagent un matériel similaire produit en Chine par le groupe Eken. Ces caméras, revendues sous différentes marques, utilisent une application mobile commune, Aiwit, mais partagent également des vulnérabilités graves. Consumer Reports a identifié des risques tels que l'envoi non crypté d'adresses IP et de noms Wi-Fi, la prise de contrôle via le mode d'appairage, et l'accès à des images vidéo en connaissant le numéro de série de la caméra. L'absence de code d'enregistrement FCC pour les caméras Eken a également été soulignée.

Malgré les avertissements, ces produits restent largement disponibles en ligne. Consumer Reports a contacté les vendeurs concernés, mais certains continuent de proposer des produits similaires. Des représentants de Temu et Walmart ont réagi en cessant la vente des sonnettes signalées, mais des modèles similaires persistent. Amazon n'a pas encore répondu aux demandes de commentaires. Cette révélation souligne les préoccupations croissantes quant à la sécurité et à la protection de la vie privée liées aux dispositifs IoT bon marché, en dépit des tendances antérieures telles que celles concernant les sonnettes Ring et les caméras Eufy.

Dans le cadre de son évaluation de routine, Consumer Reports a examiné les sonnettes vidéo Eken et Tuck qui semblaient être le même produit sous des noms de marque différents. Un examen plus approfondi par les chercheurs de Consumer Reports a révélé des vulnérabilités en matière de sécurité. Consumer Reports a également découvert que ces deux produits et au moins 10 autres sonnettes vidéo apparemment identiques sont vendus sous différents noms de marque sur diverses places de marché numériques. Ils sont tous fabriqués par une seule société, Eken Group Ltd, basée à Shenzhen, en Chine, et contrôlés par une seule application mobile appelée Aiwit, qu'Eken exploite également.

Voici un aperçu des problèmes de sécurité posés par les sonnettes vidéo :

• l'exposition des adresses IP et des noms de réseaux WiFi d'un utilisateur à Internet sans chiffrement, ce qui peut ouvrir le réseau domestique d'un utilisateur à des activités malveillantes ;
• possibilité pour des acteurs malveillants potentiels de prendre le contrôle de l'appareil en téléchargeant l'application pour smartphone Aiwit et en mettant la sonnette en mode couplage, ce qui permet à un acteur malveillant de prendre possession de l'appareil, de visionner les séquences et de verrouiller le propriétaire de l'appareil ;
• accès à distance aux images fixes du flux vidéo et à d'autres informations sans authentification, en acquérant le numéro de série de la sonnette ;
• l'absence d'un code d'enregistrement qui doit être visible sur cette catégorie de produits, conformément à la réglementation de la Commission fédérale des communications (FCC).

Eken, Tuck et les autres marques ne sont pas des noms très connus sur le marché des sonnettes vidéo, mais elles se vendent relativement bien en ligne. Les sonnettes apparaissent dans plusieurs listes sur Amazon - nous en avons trouvé huit pour la sonnette vidéo Eken et trois pour la version Tuck du produit. Ces listes ont généré plus de 4 200 ventes pour le seul mois de janvier 2024. Au cours des derniers mois, les sonnettes vidéo Eken et Tuck ont souvent porté des badges indiquant « Amazon's Choice : Choix général ». Les badges sont apparus même après que Consumer Reports a alerté Amazon sur les problèmes de sécurité.

Justin Brookman, directeur de la politique technologique chez Consumer Reports, a déclaré : « Ces sonnettes vidéo de fabricants peu connus présentent de sérieuses failles en matière de sécurité et de protection de la vie privée, et elles se sont retrouvées sur de grands marchés numériques tels qu'Amazon et Walmart. Les fabricants et les plateformes qui vendent ces sonnettes ont la responsabilité de veiller à ce que ces produits ne mettent pas les consommateurs en danger. Les grandes plateformes de commerce électronique comme Amazon et Walmart doivent mieux contrôler les vendeurs et les produits vendus sur leurs plateformes, afin que les consommateurs ne soient pas mis en danger. Il est clair que nous avons besoin de nouvelles règles pour responsabiliser davantage les vendeurs en ligne. »

Des sonnettes vidéo vulnérables commercialisées par Amazon et autres grandes plateformes de vente

Amazon serait en train de commercialiser des sonnettes vidéo présentant des vulnérabilités significatives en matière de sécurité. Ces appareils sont également disponibles chez Walmart, Sears, ainsi que d'autres détaillants, et ces grandes plateformes n'auraient que peu de conséquences pour la vente de produits défectueux. Un après-midi de jeudi, une journaliste de Consumer Reports a reçu un courrier électronique avec une image granuleuse d'elle-même faisant signe à une caméra de sonnette installée à sa porte arrière. Bien que cela aurait pu être alarmant s'il venait d'un inconnu, il s'est avéré être envoyé par Steve Blair, un ingénieur de Consumer Reports spécialisé dans les tests de sécurité et de confidentialité. Blair avait réussi à pirater la sonnette à une distance de 2 923 km.

Toutes les sonnettes évaluées utilisent l'application Aiwit sur smartphone

Blair avait obtenu des images similaires de sonnettes connectées aux domiciles d'autres employés de CR et d'un appareil dans le laboratoire de test de Yonkers, dans l'État de New York. Bien que l'accès à ces dispositifs ait été anticipé, la réception de photos de la terrasse et du jardin du journaliste a suscité une certaine surprise. Après tout, les sonnettes vidéo sont censées aider à surveiller les visiteurs à la porte, non à permettre à d'autres de vous observer.

Blair a pu capturer ces images en identifiant, avec son collègue ingénieur d'essai David Della Rocca, des failles sérieuses dans cette sonnette et dans d'autres modèles vendus sous différentes marques mais apparemment fabriqués par le même fabricant. De plus, ces sonnettes ne portent pas d'identifiant FCC visible, contrairement à la réglementation en vigueur, rendant leur distribution illégale aux États-Unis.

Ces sonnettes vidéo, potentiellement dangereuses, se vendent en grande quantité chaque mois sur diverses plateformes en ligne, dont Amazon, Walmart, Sears, Shein et Temu. Les experts affirment que ces produits ne sont que la pointe de l'iceberg parmi les nombreux appareils électroniques bon marché et peu sûrs provenant de fabricants chinois et vendus aux États-Unis. Des responsables de la régulation ont déjà signalé la disponibilité massive sur Amazon de milliers de produits peu sûrs, allant des vêtements de nuit pour enfants potentiellement dangereux aux détecteurs de monoxyde de carbone et compléments alimentaires.

Un risque majeur découvert par Consumer Reports

Blair et Della Rocca ont identifié des problèmes lors de l'évaluation de plusieurs sonnettes vidéo dans le cadre du programme d'évaluation régulier de Consumer Reports. Ces dispositifs étaient commercialisés sous les marques Eken et Tuck. Les deux sonnettes se sont distinguées non seulement par leurs problèmes de sécurité, mais aussi par leur apparente identité, bien que vendues sous des noms de marque différents. Des recherches en ligne ont révélé que plus de 10 autres sonnettes, paraissant identiques, étaient vendues sous diverses marques, toutes gérées par la même application mobile, Aiwit, appartenant à Eken. Deux de ces produits, sous les marques Fishbot et Rakeblue, ont été achetés par Consumer Reports, révélant les mêmes vulnérabilités.

Les risques de sécurité sont critiques, pouvant permettre à des personnes mal intentionnées de prendre le contrôle des sonnettes et de surveiller les activités des occupants de la maison. Consumer Reports a tenté de contacter les sociétés Eken et Tuck pour les informer des problèmes, mais n'a pas reçu de réponse. Les sonnettes exposent l'adresse IP et le nom du réseau WiFi sans chiffrement, ouvrant potentiellement les réseaux domestiques à des cybercriminels. Les experts s'inquiètent également de la sécurité insuffisante des serveurs stockant les vidéos. Ces vulnérabilités sont particulièrement préoccupantes pour les victimes de violence domestique, exposant leur domicile à une surveillance indésirable.

Les failles de sécurité permettraient à toute personne ayant un accès physique à une sonnette de prendre le contrôle de l'appareil sans compétences en piratage. Le scénario d'un ex-petit ami violent surveillant les allées et venues de sa cible a été illustré, soulignant le danger potentiel de ces dispositifs mal sécurisés. La méthode d'appairage utilisée par ces sonnettes, qui ne nécessite pas de mot de passe ou de compte, peut permettre à des harceleurs d'accéder à distance aux images vidéo même après avoir perdu l'accès initial. L'absence de contrôles d'accès de base suscite des inquiétudes quant à la sécurité de ces dispositifs connectés, mettant en danger la vie privée des utilisateurs.

Justin Brookman, directeur de la politique technologique chez Consumer Reports, souligne la nécessité pour les grandes plateformes de commerce électronique, telles qu'Amazon, d'assumer une plus grande responsabilité quant aux dommages causés par les produits qu'elles vendent. Il suggère qu'elles pourraient faire davantage pour superviser les vendeurs et traiter les plaintes, au lieu de simplement s'appuyer sur leur réputation et laisser des produits défectueux entre les mains de consommateurs mal informés.

Pour créer leurs produits, ces entreprises peuvent s'inspirer d'un modèle de référence d'une société de puces qui fabrique les cerveaux des appareils électroniques, acheter les composants électroniques nécessaires dans des usines voisines, fabriquer un boîtier en plastique bon marché, puis assembler le produit final. Selon Huang, certaines entreprises chinoises peuvent assembler un nouvel appareil électronique en deux semaines seulement. Toutefois, ce type de développement rapide et bon marché ne se prête pas à la cybersécurité, selon Steve Hanna, responsable de la stratégie et de la technologie de sécurité de l'IdO chez Infineon Technologies, une société de semi-conducteurs.

« Il est toujours vrai que construire un produit plus sûr coûte plus cher », explique-t-il, mais pour de nombreuses entreprises IoT à bas prix, il n'y a guère d'incitation économique à inclure la sécurité, car elle est invisible pour la plupart des consommateurs. Si ces produits n'ont pas été contrôlés par Amazon, pourquoi reçoivent-ils le label Amazon's Choice ? Selon une FAQ de l'entreprise, cette désignation est basée sur « l'évaluation, le prix, la popularité, la disponibilité du produit et la rapidité de livraison ». Elle est générée dynamiquement par un algorithme et peut apparaître soudainement, puis disparaître tout aussi rapidement.

Temu a déclaré par courriel qu'elle examinait les conclusions de Consumer Reports et qu'elle avait retiré de son site Web toutes les sonnettes vidéo utilisant l'application Aiwit et fabriquées par Eken, mais que des sonnettes d'apparence similaire, voire identiques, restaient sur le site. Walmart a indiqué à CR par courriel qu'il s'attendait à ce que les produits vendus sur son marché « soient sûrs, fiables et conformes à nos normes et à toutes les exigences légales ». Les articles identifiés comme ne répondant pas à ces normes ou exigences seront rapidement retirés du site web et resteront bloqués. À la mi-février, il était encore possible d'acheter les sonnettes vidéo sur Walmart. Amazon, Sears et Shein n'ont pas répondu aux questions des journalistes de la CR.

Consumer Reports demande à la FTC de mettre fin à la vente en ligne de ces sonnettes vidéo et invite les détaillants en ligne à prendre des mesures pour garantir la qualité des produits qu'ils vendent, comme le feraient les supermarchés ou les grands magasins. Amazon, Walmart et les autres détaillants en ligne devraient réagir avec force lorsque des problèmes sont découverts, notamment en contactant les clients qui ont acheté des articles qui se sont révélés nocifs.

La CR a également envoyé une lettre à la FTC, à la Federal Communications Commission et au bureau du procureur général de Californie pour les alerter sur les failles de sécurité associées à ces sonnettes. Les autorités de régulation ont déjà affirmé que des milliers de produits dangereux, notamment des vêtements de nuit pour enfants, des détecteurs de monoxyde de carbone et des compléments alimentaires, étaient largement disponibles sur Amazon.

Note de la FCC sur les exigences d'étiquetage des équipements

Les informations d'étiquetage et de conformité requises pour un produit sont déterminées par la procédure d'autorisation de l'équipement conformément aux règles spécifiques de la FCC applicables à ce produit. La FCC propose deux procédures d'autorisation des équipements : la Déclaration de Conformité du Fournisseur (SDoC) et la Certification.

Les règles de la FCC qui s'appliquent à l'appareil RF autorisé précisent la procédure d'autorisation de l'équipement à utiliser. Les exigences en matière d'étiquetage pour l'appareil RF varient en fonction du type d'autorisation d'équipement utilisé. Pour les dispositifs composites, comprenant à la fois des émetteurs radio et des circuits numériques, le SDoC peut être utilisé pour la partie circuit numérique et la certification pour la partie émetteur. Cependant, la certification peut également servir à démontrer la conformité à la fois de l'émetteur et des circuits numériques.

Déclaration de Conformité du Fournisseur (SDoC)

Identification du produit

Les exigences relatives à l'identification du produit (étiquetage) et aux informations de conformité pour un dispositif soumis au SDoC exigent que chaque dispositif soit identifié de manière unique, utilisant par exemple une étiquette mentionnant un nom commercial et un numéro de type ou de modèle. Les utilisateurs finaux doivent recevoir une déclaration de conformité pour le produit.

L'identifiant unique peut prendre diverses formes, telles qu'un nom commercial et un numéro de type, un numéro de modèle, un numéro de série, ou tout autre moyen interne utilisé lors du processus de fabrication.

Informations de conformité

Une déclaration d'informations de conformité doit être fournie avec le produit au moment de la commercialisation ou de l'importation. Elle comprend l'identification du produit (nom commercial, modèle, etc.), une déclaration de conformité aux règles pertinentes, le nom, l'adresse, le numéro de téléphone ou les coordonnées Internet du contact de la partie responsable située aux États-Unis.

Informations relatives à la conformité des produits assemblés

Conformément à la loi, les points suivants s'appliquent aux produits assemblés à partir de composants modulaires autorisés en vertu du SDoC ou d'une certification. Ils doivent être accompagnés d'une déclaration de conformité contenant l'identification du produit assemblé, l'identification des composants modulaires autorisés utilisés, une déclaration de conformité aux règles appropriées, et les coordonnées de la partie responsable ayant effectué l'assemblage. Pour les dispositifs SDoC, la partie responsable doit être située aux États-Unis, et des copies des déclarations d'information sur la conformité pour chaque composant modulaire autorisé doivent être fournies.

Certification

Afin d'obtenir la certification, le produit doit comporter une plaque signalétique ou une étiquette portant l'identifiant FCC (FCC ID). L'identifiant FCC doit toujours être accessible pendant l'utilisation du produit. Il doit être physiquement présent sur le produit, à moins qu'une étiquette électronique ne soit utilisée. Les étiquettes physiques d'identification FCC doivent être positionnées sur la surface du produit ou dans un compartiment non détachable accessible à l'utilisateur, tel que le compartiment à piles. Cette étiquette doit être solidement apposée de manière permanente, garantissant une identification certaine de l'appareil. La police de caractères doit être aisément lisible et proportionnée aux dimensions de l'équipement et de la zone d'étiquetage.

Si le dispositif est de taille réduite ou destiné à une utilisation particulière ne permettant pas l'application d'une étiquette avec une taille de police de quatre points ou plus (et que le dispositif n'utilise pas d'étiquetage électronique), l'identifiant FCC doit figurer dans le manuel de l'utilisateur. L'identifiant FCC doit également être présent sur l'emballage du dispositif ou sur une étiquette amovible.

Étiquetage électronique

Les produits équipés d'un écran intégré ou ne fonctionnant qu'avec un autre produit doté d'un écran électronique peuvent afficher sur cet écran l'identifiant FCC, les avertissements ou toute autre information requise par les règles de la Commission.

Informations sur l'emballage

L'emballage de certains dispositifs RF doit contenir des informations E-Label. Les dispositifs affichant leur identifiant FCC, des avertissements ou d'autres informations par voie électronique doivent être étiquetés, soit sur le dispositif, soit sur son emballage, avec l'identifiant FCC et d'autres informations (telles qu'un numéro de modèle) permettant d'identifier les dispositifs lors de l'importation, de la commercialisation et de la vente comme étant conformes aux exigences d'autorisation d'équipement de la FCC.

Cette exigence s'ajoute à l'étiquetage électronique du dispositif. Les dispositifs peuvent être étiquetés à l'aide d'une étiquette autocollante, d'une étiquette imprimée sur l'emballage, d'une étiquette sur un sac de protection ou par d'autres moyens similaires. Toute étiquette amovible doit être conçue pour résister à une expédition et à une manipulation normale et ne doit être retirée par le client qu'après l'achat. Pour les amplificateurs de signaux, les avis doivent être inclus dans les documents de commercialisation en ligne, le manuel d'utilisation, les instructions d'installation imprimées ou en ligne, l'emballage extérieur de l'appareil et sur une étiquette apposée sur l'appareil.

Comment les entreprises chinoises séduisent Amazon malgré les problèmes de sécurité

Au cours des derniers mois, les sonnettes vidéo Eken et Tuck ont fréquemment affiché le badge Amazon's Choice malgré les problèmes de sécurité signalés à Amazon par CR. Pour de nombreux acheteurs, ce label peut laisser penser qu'Amazon a consciemment sélectionné et recommandé cette sonnette vidéo en raison de sa qualité. Cependant, la réalité est différente.

Au cours des derniers mois, les sonnettes vidéo Eken et Tuck vendues sur Amazon ont souvent porté le label Amazon's Choice : Choix général

Comme plus de 60 % des articles vendus sur Amazon, les produits d'Eken sont mis en ligne par des vendeurs indépendants, Amazon se chargeant généralement des services logistiques tels que l'entreposage, l'expédition et les retours. Tout individu peut vendre presque n'importe quel produit sur Amazon, qui a généré environ 140 milliards de dollars de chiffre d'affaires avec des vendeurs tiers en 2023.

Cette approche offre aux acheteurs une large gamme de produits, mais elle peut également rendre difficile la compréhension de ce que l'on achète et qui est le vendeur. Les dix marques de sonnettes, ainsi que l'application Aiwit, semblent appartenir à une société de 18 ans appelée Eken Group Ltd, basée à Shenzhen, en Chine, avec un bureau en Californie du Sud situé dans un appartement à Temple City.

Pour de nombreuses entreprises technologiques chinoises, la stratégie de vendre du matériel bon marché sous différentes marques peut stimuler les ventes dans une catégorie de produits très populaire, jusqu'à ce qu'elle ne le soit plus. C'est ce que souligne Andrew Huang, ingénieur émérite et expert en logiciels, auteur de The Essential Guide to Electronics in Shenzhen (Le guide essentiel de l'électronique à Shenzhen). Selon Huang, ces entreprises adoptent une approche agile, changeant de produit en fonction des tendances du marché.

Huang explique que pour le marché des caméras de sécurité, la marque est davantage un élément de marketing, réalisant quelques ajustements esthétiques, mais n'ayant pas nécessairement de stocks importants, leur existence fluctuant selon les tendances du marché des matières premières. Pour développer leurs produits, ces entreprises peuvent s'inspirer de modèles de référence de sociétés de puces électroniques, acheter des composants électroniques dans des usines locales, fabriquer un boîtier en plastique peu coûteux, puis assembler le produit final. Selon Huang, certaines entreprises chinoises peuvent assembler un nouvel appareil électronique en seulement deux semaines.

Cependant, cette approche de développement rapide et économique ne favorise pas la cybersécurité, selon Steve Hanna, responsable de la stratégie et de la technologie de sécurité de l'IdO chez Infineon Technologies, une société de semi-conducteurs. Il souligne que la création d'un produit plus sûr implique des coûts supplémentaires, mais pour de nombreuses entreprises IoT à bas prix, l'incitation économique à inclure la sécurité est minime, car elle demeure invisible pour la plupart des consommateurs.

En ce qui concerne l'attribution du label Amazon's Choice à ces produits, même s'ils ne sont pas vérifiés par Amazon, l'entreprise explique que cette désignation repose sur des critères tels que l'évaluation, le prix, la popularité, la disponibilité du produit et la rapidité de livraison. Elle est générée dynamiquement par un algorithme, apparaissant et disparaissant de manière spontanée.

Inquiétudes grandissantes sur la sécurité des dispositifs IoT bon arché

Cette enquête de Consumer Reports met en lumière des problèmes de sécurité sérieux liés aux sonnettes vidéo bon marché, particulièrement celles vendues entre 30 et 40 dollars sur des plateformes populaires comme Amazon et Walmart. Les marques Eken et Tuck, ciblées par l'enquête, partagent un matériel similaire produit en Chine par le groupe Eken, exposant ainsi des failles de sécurité alarmantes.

L'une des principales préoccupations soulevées par Consumer Reports concerne la vulnérabilité des données sensibles, telles que les adresses IP et les noms Wi-Fi, qui sont envoyées de manière non chiffrée. De plus, la possibilité de prendre le contrôle de la sonnette via le mode d'appairage et l'accès aux images vidéo en utilisant simplement le numéro de série de la caméra sont des risques inacceptables pour la sécurité des utilisateurs.

La constatation selon laquelle les caméras Eken ne disposent pas de code d'enregistrement FCC ajoute une autre couche de préoccupation, soulignant un manquement aux normes réglementaires et de sécurité. Malgré ces problèmes graves, les produits restent largement disponibles en ligne, mettant potentiellement en danger un grand nombre d'utilisateurs inconscients de ces vulnérabilités.

Le fait que certains vendeurs aient cessé la vente des sonnettes signalées en réaction à la mise en lumière de ces problèmes est une réaction positive, mais la persistance de modèles similaires souligne la nécessité d'une action plus ferme de la part des plateformes de vente en ligne, notamment Amazon. L'absence de réponse de la part d'Amazon à ce stade est préoccupante, car cela laisse les consommateurs exposés à des risques potentiels.

Cette révélation s'inscrit dans une tendance plus large de préoccupations croissantes concernant la sécurité et la protection de la vie privée liées aux dispositifs IoT bon marché. Des incidents antérieurs, tels que ceux liés aux sonnettes Ring et aux caméras Eufy, ont déjà suscité des inquiétudes, soulignant la nécessité d'une réglementation plus stricte et d'une surveillance continue de la sécurité des dispositifs IoT afin de protéger les consommateurs. En conclusion, cette enquête souligne l'importance pour les utilisateurs d'être vigilants lors de l'achat de produits IoT bon marché et met en évidence la nécessité pour l'industrie et les autorités réglementaires d'agir de manière proactive pour garantir la sécurité des consommateurs.

Quelques conseils à l'intention des utilisateurs

Si vous possédez l'une de ces sonnettes, Consumer Reports conseille de la déconnecter de votre réseau WiFi domestique et de la retirer de votre porte. L'évaluation de Consumer Reports a mis en avant des sonnettes vidéo plus sécurisées de marques telles que Logitech, SimpliSafe et Ring, propriété d'Amazon. De manière plus générale, ne présumez pas que les grandes plateformes de vente en ligne ont évalué la sécurité de tous les produits qu'elles proposent. Au fil des ans, des agences fédérales et des journalistes ont signalé divers produits dangereux ou illégaux en vente sur Amazon.

En cas d'achat de produits défectueux auprès d'un magasin local, celui-ci pourrait être tenu responsable des dommages ou des amendes. Cependant, Amazon a précédemment affirmé ne pas être responsable des articles vendus par des tiers sur sa plateforme, considérant ces vendeurs comme une simple société logistique. La Commission de la sécurité des produits de consommation conteste cette position et envisage de classer officiellement la place de marché comme un « distributeur de biens » ayant des responsabilités similaires à celles des détaillants traditionnels. Si cette ordonnance est adoptée, elle pourrait influencer d'autres places de marché en ligne.

En attendant, Consumer Reports appelle les détaillants en ligne à prendre des mesures pour garantir la qualité des produits sur leurs plateformes. Consumer Reports plaide également en faveur d'une législation rendant les plateformes en ligne strictement responsables de la vente de produits défectueux et encourage l'établissement de lois qui exigent clairement des détaillants qu'ils prennent des mesures raisonnables pour éviter la vente de produits nocifs, frauduleux ou non sécurisés sur leurs plateformes.

Consumer Reports a également partagé ses conclusions sur les sonnettes vidéo avec la Commission fédérale du commerce, qui a le pouvoir de retirer de tels produits du marché. L'agence n'a pas commenté les mesures envisagées, soulignant que ses enquêtes sont confidentielles. Justin Brookman de Consumer Reports souligne la nécessité pour les régulateurs d'intervenir davantage contre la prolifération de produits indésirables sur le marché, en ciblant tant les fabricants que les plateformes de vente qui les recommandent explicitement.

Sources : Consumer Reports (1, 2), FCC

Et vous ?

Quel est votre avis sur le sujet ?

Les conclusions du rapport de CR sont-elles pertinentes ?

Voir aussi :

Les cybercriminels utilisent des brouilleurs pour perturber les caméras de sécurité WiFi, un avertissement est lancé à tous ceux qui utilisent des caméras de sécurité sans fil comme Ring

Canon a installé dans ses bureaux chinois des caméras dotées d'une technologie de « reconnaissance des sourires » basée sur l'IA, qui ne laissent entrer que les employés souriants

[Mister Nono]

Amazon c'est du tout et n'importe quoi.

Avant j'achetais sur Amazon. Aujourd'hui je vais très très souvent voir ailleurs.