Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Discussion :
En es tu certain que Madame Michu soit au courant que les objets connectés (enceintes connectées pour Deezer/Spotify, enceintes intelligentes Google/Amazon, ...) sont des outils pour puiser des informations sur eux?Envoyé par Thorna
Pourquoi autant d'utilisateurs font dans ce cas abstractions à ce détail et sont toujours aussi friands de ce type de produit?
Ring d’Amazon a congédiés des employés pour avoir regardé des vidéos de clients
Ring d’Amazon a congédiés des employés pour avoir regardé des vidéos de clients,
La société l'a dit dans une lettre aux sénateurs
Les gadgets connectés d’Amazon sont de plus en plus populaires grâce à des ventes record, mais cette popularité s’accompagne des inquiétudes des utilisateurs, au cours de ces dernières années. En effet, les rapports ont révélé que les équipes travaillant sur les commandes des utilisateurs de l’assistant vocal Alexa et de la sonnette de porte Ring espionnaient les propriétaires de ces gadgets. La société a confirmé certains faits (certains enregistrements vocaux des clients d'Alexa sont conservés pour toujours) et nié d’autres. Dans une lettre que Ring a adressée lundi aux sénateurs, la société qui appartient à Amazon dit avoir licencié des employés pour avoir accédé de manière inappropriée aux données vidéo des utilisateurs de Ring.
Ring est une startup d'origine ukrainienne spécialisée dans la sécurité à domicile qui vend des sonnettes permettant de capturer de la vidéo et de l'audio. Les clips peuvent être diffusés sur les smartphones et autres appareils, tandis que la sonnette permet même aux propriétaires de bavarder à distance avec ceux qui se tiennent à leur porte. Ring a été racheté par Amazon en 2018. Dans une lettre envoyée lundi par la société à cinq sénateurs, en réponse à leurs questions sur les pratiques de sécurité de l'entreprise, Ring a admis qu'au cours des quatre dernières années, elle a licencié quatre employés pour avoir abusé de l'accès aux données vidéo des utilisateurs.
On peut lire dans la lettre de Ring, dont Motherboard a vu une copie, ce qui suit :
« Nous sommes au courant des incidents mentionnés ci-dessous où des employés ont violé nos politiques », a reconnu la société. Il a ajouté ensuite qu’ « Au cours des quatre dernières années, Ring a reçu quatre plaintes ou demandes de renseignements concernant l'accès d'un membre de l'équipe aux données vidéo de Ring. Bien que chacune des personnes impliquées dans ces incidents ait été autorisée à consulter les données vidéo, la tentative d'accès à ces données a dépassé ce qui était nécessaire pour leurs fonctions. Dans chaque cas, une fois que Ring a été mis au courant de la conduite présumée, il a rapidement enquêté sur l'incident et, après avoir déterminé que la personne avait enfreint la politique de l'entreprise, il l'a congédiée ».
Selon Motherboard, cette nouvelle met en évidence un risque de confidentialité et de sécurité qui ne se limitent pas seulement à Ring. En effet, les employés dans de nombreuses entreprises technologiques différentes peuvent abuser de l'accès accordé dans le cadre de leur travail pour consulter les données ou les informations des clients. Et selon Motherboard, dans le cas de Ring, ces données peuvent cependant être particulièrement sensibles, du fait que les clients placent souvent les caméras à l'intérieur de leur maison.
Ring a nié en janvier 2019 que ses ingénieurs et autres cadres auraient eu accès à des flux non filtrés et en continu des séquences de certains utilisateurs, selon un rapport de The Intercept. En effet, The Intercept avait signalé que Ring a accordé à un certain nombre de travailleurs en Ukraine l'accès aux vidéos des utilisateurs de Ring à des fins de recherche. Les incidents auxquels Ring fait référence dans sa lettre pourraient être liés au rapport de The Intercept. Ring a de nouveau nié que son équipe de recherche et développement basée en Ukraine ait ce niveau d'accès, mais la société a révélé que trois employés sont en mesure d'accéder aux vidéos stockées des clients pour aider à maintenir l'infrastructure AWS de Ring :
« nos équipes de R&D ne peuvent accéder aux vidéos accessibles au public et aux vidéos disponibles des employés de Ring, des entrepreneurs et des amis et de la famille des employés ou des entrepreneurs qu'avec leur consentement explicite. En outre, les clients peuvent donner leur consentement explicite à notre service clientèle pour qu'il leur fournisse un accès temporaire à leur flux de caméra en direct lors du dépannage d'un problème client spécifique. En outre, un nombre très limité d'employés (actuellement trois) ont la possibilité d'accéder aux vidéos stockées des clients dans le but de maintenir l'infrastructure AWS de Ring ».
A la question des sénateurs de savoirs si les employés de Ring avaient accès à d’autres types d’information, la société a répondu : « Les employés ont accès à l'interface de service client principale utilisée pour les informations de compte client, la configuration des appareils et les paramètres des appareils. Il existe plusieurs couches de contrôle de sécurité pour accéder à l'information, qui comprend les renseignements sur les clients nécessaires pour effectuer les opérations de service à la clientèle standard. Les employés n'ont accès à ces renseignements que dans le seul but de maintenir et d'améliorer l'expérience client ».
Ring a exigé l’authentification à doubles facteurs pour les nouveaux comptes, mais pas pour les comptes existants
Dans la lettre, Ring a déclaré qu'il encourage l'utilisation de l'authentification à deux facteurs qu'il exige maintenant de façon proactive pour les nouveaux comptes, en réponse à une vague d'incidents concernant ces sonnettes à laquelle la société a fait face ces derniers mois. Les sonnettes connectées d’Amazon ont été piratées et un chercheur en sécurité de Bitdefender a découvert que 1 562 adresses e-mail et les mots de passe correspondants étaient à vendre sur le dark web depuis en décembre. En les utilisant, il est possible de se connecter et d’accéder aux caméras. Plus inquiétant encore, les accès permettent aux pirates d’accéder à l’ensemble des appareils connectés reliés aux sonnettes Ring. Par ailleurs, un utilisateur des caméras de sécurité a porté plainte en recours collectif contre Amazon, après qu'un hacker y a accédé pour voir et parler à ses enfants mineurs.
Ring a également introduit des messages d'avertissement lorsque quelqu'un se connecte depuis un nouvel emplacement, après que Motherboard a découvert, en décembre, de multiples problèmes de sécurité avec la plateforme Ring, comme le fait que Ring permettait des connexions à partir d'adresses IP inconnues. Dans un communiqué, le sénateur Ron Wydena déclaré :
« Exiger une authentification à deux facteurs pour les nouveaux comptes est un pas dans la bonne direction, mais il y a des millions de consommateurs qui ont déjà une caméra Ring chez eux et qui restent inutilement vulnérables aux pirates. Amazon doit aller plus loin en protégeant tous les appareils Ring avec une authentification à deux facteurs. Il est également inquiétant d'apprendre que le chiffrement des vidéos des utilisateurs par Ring est à la traîne par rapport à d'autres sociétés, qui veillent à ce que seuls les utilisateurs disposent des clés de chiffrement pour accéder à leurs données ».
Dans un communiqué, Ring a indiqué qu’il n'a pas activé l'authentification à deux facteurs pour tous les utilisateurs existants parce que cela pourrait empêcher les clients actuels d'accéder à leurs caméras, sur lesquelles ils peuvent compter pour leur sécurité. Le fondateur de Ring, Jamie Siminoff, a également dit que pour forcer les clients existants à adopter l'authentification à deux facteurs, il faudrait que Ring déconnecte tous les utilisateurs de leurs systèmes. Et dans ce cas, les utilisateurs qui ne peuvent pas se rappeler ou récupérer leurs informations de connexion Ring pourraient avoir des problèmes de sécurité.
Certaines pratiques d’Amazon et sa filiale Ring en matière de sécurité et confidentialité des données sont décriées depuis longtemps. En juin dernier, les défenseurs de la vie privée s’inquiétaient du fait que les sonnettes Ring d'Amazon créent un réseau massif de surveillance policière. Selon le rapport, la police obtiendrait des vidéos enregistrées par les appareils Ring installés sur les portes des résidents. Ce qui donnerait à la police des capacités de surveillance sans précédent et pourrait poser de graves problèmes en matière de protection de la vie privée, selon un rapport.
Suite à plusieurs rapports faisant état que les employés d’Amazon espionnent les utilisateurs, Amazon a expliqué dans une lettre adressée au sénateur Chris Coons du Delaware, en juillet dernier, que son enceinte connectée Amazon Alexa conserve indéfiniment certains enregistrements vocaux et d’autres données de ses utilisateurs. La société a aussi confirmé que ces différentes données peuvent également être partagées avec des entreprises pour d'autres utilisations.
Sources : Lettre D'Amazon
Et vous ?
Qu’en pensez-vous ?
Lire aussi
Ont parle bien de ses sonnettes ?
Si oui, rien ne me convaincra d'utiliser ce type de matériel en toute sérénité. Comme n'importe quel matériel connecté.
Avoir accès aux vidéos des utilisateurs peut être utile. On l'a vue y'a pas si longtemps. En dehors de ça, aucun intérêt. Enfin aucun pour les utilisateur. Pour l'entreprise c'est toujours un œil sur la vie privée de ses utilisateurs et donc des données perso collecté (Heure d'arriver et de départ, différente habitude de vie comme le voisin qui passe tous les mercredi après midi ou les courses qui sont faite tous les jeudi soir, ect...) qui peuvent être revendu ou utiliser pour affiner les profils.
Un ingénieur Amazon pense que « Ring devrait être fermé immédiatement »
Un ingénieur Amazon pense que « Ring devrait être fermé immédiatement »,
les caméras de sécurité connectées à domicile pouvant être consultées de manière centralisée sont incompatibles avec une société libre
Ring est une startup d'origine ukrainienne spécialisée dans la sécurité à domicile qui vend des sonnettes permettant de capturer de la vidéo et de l'audio. Les clips peuvent être diffusés sur les smartphones et autres appareils, tandis que la sonnette permet même aux propriétaires de bavarder à distance avec ceux qui se tiennent à leur porte. Amazon a racheté la société en 2018 pour un montant de 1 milliard de dollars.
En fin d'année dernière, les sonnettes connectées d’Amazon ont été piratées et un chercheur en sécurité de Bitdefender a découvert que 1 562 adresses e-mail et les mots de passe correspondants étaient à vendre sur le dark web depuis ce mardi 17 décembre 2019. En les utilisant, il est possible de se connecter et d’accéder aux caméras. Plus inquiétant encore : les accès permettent aux pirates d’accéder à l’ensemble des appareils connectés reliés aux sonnettes Ring. En se connectant au compte, il est aussi possible de consulter des données personnelles telles que le numéro de téléphone, l’adresse ou les informations de paiement du propriétaire.
Après cet incident, un utilisateur a porté plainte, avançant que la conception défectueuse des caméras rend les acheteurs vulnérables aux cyberattaques. Dans un recours collectif proposé jeudi, John Baker Orange a déclaré qu'un hacker avait récemment accédé à sa caméra Ring alors que ses enfants, âgés de 7, 9 et 10 ans, jouaient au basket-ball dans l'allée, et grâce à son système de haut-parleurs les a encouragés à se rapprocher de l'appareil photo.
C'est également cet incident qui a mis en lumière les pratiques de certains employés de Ring qui regardaient les vidéos de surveillance des clients. L'entreprise a assuré aux sénateurs que, lorsqu'elle a découvert cet abus, elle a licencié les coupables : « Nous sommes au courant des incidents mentionnés ci-dessous où des employés ont violé nos politiques », ajoutant « qu'au cours des quatre dernières années, Ring a reçu quatre plaintes ou demandes de renseignements concernant l'accès d'un membre de l'équipe aux données vidéo de Ring. Bien que chacune des personnes impliquées dans ces incidents ait été autorisée à consulter les données vidéo, la tentative d'accès à ces données a dépassé ce qui était nécessaire pour leurs fonctions. Dans chaque cas, une fois que Ring a été mis au courant de la conduite présumée, il a rapidement enquêté sur l'incident et, après avoir déterminé que la personne avait enfreint la politique de l'entreprise, il l'a congédiée ».
Néanmoins, Ring a nié en janvier 2019 que ses ingénieurs et autres cadres auraient eu accès à des flux non filtrés et en continu des séquences de certains utilisateurs, selon un rapport de The Intercept. En effet, The Intercept avait signalé que Ring a accordé à un certain nombre de travailleurs en Ukraine l'accès aux vidéos des utilisateurs de Ring à des fins de recherche. Les incidents auxquels Ring fait référence dans sa lettre pourraient être liés au rapport de The Intercept. Ring a de nouveau nié que son équipe de recherche et développement basée en Ukraine ait ce niveau d'accès, mais la société a révélé que trois employés sont en mesure d'accéder aux vidéos stockées des clients pour aider à maintenir l'infrastructure AWS de Ring :
« nos équipes de R&D ne peuvent accéder aux vidéos accessibles au public et aux vidéos disponibles des employés de Ring, des entrepreneurs et des amis et de la famille des employés ou des entrepreneurs qu'avec leur consentement explicite. En outre, les clients peuvent donner leur consentement explicite à notre service clientèle pour qu'il leur fournisse un accès temporaire à leur flux de caméra en direct lors du dépannage d'un problème client spécifique. En outre, un nombre très limité d'employés (actuellement trois) ont la possibilité d'accéder aux vidéos stockées des clients dans le but de maintenir l'infrastructure AWS de Ring ».
Un ingénieur Amazon pense que « Ring devrait être fermé »
Le groupe de défense Amazon Employees For Climate Justice a publié des commentaires d'une centaine d'employés (363) Amazon comme un moyen de protester contre la politique de communication externe de l'entreprise. Bien que l'initiative Amazon Employees For Climate Justice soit lancée pour parler des effets de la politique d'Amazon sur la crise climatique, les défenseurs ont indiqué : « il ne s'agit pas seulement du climat : il en va également de notre capacité à parler d'autres questions comme le racisme et le sexisme dans le secteur technologique, le traitement des employés en entrepôt, les dons aux politiciens anti-LGBTQ et la complicité avec l'ICE ».
C'est dans ce contexte que s'est exprimé l'ingénieur Max Eliaser au sujet de Ring, notant que « le déploiement de caméras de sécurité connectées à domicile qui permettent d'interroger des images de manière centralisée n'est tout simplement pas compatible avec une société libre. Les problèmes de confidentialité ne peuvent pas être résolus avec la réglementation et il n'y a pas d'équilibre qui puisse être trouvé. Ring devrait être fermé immédiatement et non ramené ».
Les commentaires d'Eliaser, tout comme ceux de ses collègues, sont marquants parce que Ring appartient à Amazon et les employés Amazon dénoncent rarement l'entreprise (Amazon interdit aux employés de parler de l'entreprise sans autorisation préalable).
Pour sa part, l'ingénieur Michael Sokolov a déclaré : « Amazon participe à l'économie mondiale, où elle a un impact substantiel sur de nombreux problèmes. Attendre de ses employés qu'ils gardent le silence sur ces problèmes, et l'impact d'Amazon sur eux, est vraiment une portée excessive répréhensible, et je suis fier de saisir cette occasion pour démontrer ma réticence à me conformer. J'ai été encouragé d'entendre l'engagement d'Amazon d'investir dans une flotte de livraison électrique et je ne vois pas le mal à le dire. Je ne peux pas soutenir une politique qui ferait taire les commentaires, à la fois pour et contre ».
Sources : Amazon Employees For Climate Justice
Et vous ?
Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
L'app Ring surprise en train de donner des infos à Facebook, que les utilisateurs aient un compte ou non
L'application Ring d'Amazon partage de nombreuses informations personnelles à l'insu des utilisateurs,
elle a été surprise en train de donner des informations à Facebook, que les utilisateurs aient un compte ou non
La gamme de produits de surveillance à domicile Ring d'Amazon a fait l'objet d'un examen minutieux ces derniers mois à la suite d'une litanie apparemment interminable de révélations inquiétantes sur les partenariats de Ring avec la police, la sécurité des comptes, les vulnérabilités, l'espionnage des employés et le partage de données de localisation extrêmement détaillées. Cette fois-ci, un nouveau rapport à ajouter à la pile : il semble que l'application que les clients utilisent pour gérer et contrôler une caméra Ring envoie également toutes sortes de données personnelles à des sociétés.
Une sonnette connectée qui embarque des traceurs tiers
Ring n'est pas seulement un produit qui permet aux utilisateurs de surveiller leurs voisins. L'entreprise l'utilise également pour surveiller ses clients.
Une enquête menée par le défenseur des droits numériques EFF (Electronic Frontier Foundation) sur l'application Ring Doorbell pour Android a révélé qu'elle était remplie de traceurs tiers envoyant une pléthore d'informations personnellement identifiables (PII) des clients. Il a été découvert que quatre principales sociétés d'analyse et de marketing recevaient des informations telles que les noms, les adresses IP privées, les opérateurs de réseau mobile, les identifiants persistants et les données de capteur sur les appareils des clients payants.
Le danger d'envoyer des informations, même de petite taille, est que les sociétés d'analyse et de suivi sont capables de combiner ces octets pour former une image unique de l'appareil de l'utilisateur. Cet ensemble cohérent représente une empreinte numérique qui permet de suivre l'utilisateur lorsqu'il interagit avec d'autres applications et utilise son appareil, offrant essentiellement aux traceurs la possibilité d'espionner ce que fait un utilisateur dans sa vie numérique et quand il le fait. Tout cela a lieu sans notification ou consentement significatif de l'utilisateur et, dans la plupart des cas, aucun moyen d'atténuer les dommages causés. Même lorsque ces informations ne sont pas utilisées à mauvais escient et utilisées précisément pour leur objectif déclaré (dans la plupart des cas, le marketing), cela peut entraîner toute une série de maux sociaux.
« Nos tests, qui se sont appuyés sur Ring pour Android version 3.21.1, ont révélé la livraison de PII à branch.io, mixpanel.com, appsflyer.com et facebook.com. Facebook, via son API Graph, est alerté lorsque l'application est ouverte et sur les actions de l'appareil telles que la désactivation de l'application après le verrouillage de l'écran en raison de l'inactivité. Les informations fournies à Facebook (même si vous n'avez pas de compte Facebook) comprennent le fuseau horaire, le modèle d'appareil, les préférences linguistiques, la résolution d'écran et un identifiant unique (anon_id), qui persiste même lorsque vous réinitialisez l'ID d'annonceur au niveau du système d'exploitation.
Données livrées à graph.facebook.com
« Branch, qui se décrit comme une plateforme de "lien profond", reçoit un certain nombre d'identifiants uniques (device_fingerprint_id, hardware_id, identity_id) ainsi que l'adresse IP locale, le modèle, la résolution d'écran et le DPI de votre appareil.
« AppsFlyer, une société de Big Data axée sur la plateforme mobile, reçoit un large éventail d'informations lors du lancement de l'application ainsi que certaines actions des utilisateurs, telles que l'interaction avec la section "Neighbors" de l'application. Ces informations incluent votre opérateur de téléphonie mobile, lorsque Ring a été installé et lancé, un certain nombre d'identifiants uniques, l'application à partir de laquelle vous avez installé et si le suivi AppsFlyer a été préinstallé sur l'appareil. Cette dernière information est probablement destinée à déterminer si le suivi AppsFlyer a été inclus en tant que bloatware sur un appareil Android bas de gamme. Les fabricants compensent souvent les coûts de production d'appareils en vendant des données sur les consommateurs, une pratique qui affecte de manière disproportionnée les personnes à faible revenu et a fait l'objet d'une récente pétition à Google lancée par Privacy International et cosignée par EFF.
« Plus alarmant encore, AppsFlyer reçoit également les informations issues des capteurs installés sur votre appareil (sur notre appareil de test, notamment le magnétomètre, le gyroscope et l'accéléromètre) et les paramètres d'étalonnage actuels.
« Ring donne de loin à MixPanel le plus d'informations. Les noms complets, les adresses e-mail des utilisateurs, les informations sur les appareils tels que la version et le modèle du système d'exploitation, si le Bluetooth est activé et les paramètres des applications tels que le nombre d'emplacements sur lesquels les appareils Ring sont installés, sont tous collectés et signalés à MixPanel. MixPanel est brièvement mentionné dans la liste des services tiers de Ring, mais l'étendue de leur collecte de données ne l'est pas. Aucun des autres traceurs répertoriés dans cet article n'est mentionné du tout sur cette page ».
Méthodologie
Tout le trafic que l'EFF a observé sur l'application était envoyé via HTTPS chiffré. De plus, les informations chiffrées ont été fournies d'une manière qui échappe à l'analyse, ce qui rend plus difficile (mais pas impossible) pour les chercheurs en sécurité la découverte et le signalement de ces graves atteintes à la vie privée.
L'analyse dynamique a été réalisée à l'aide de mitmproxy exécuté sur un point d'accès pour intercepter et analyser les flux HTTPS à partir d'un appareil de test Android. Pour supprimer le bruit généré par d'autres applications, l'EFF a installé l'application de pare-feu AFWall + et autorisé uniquement le trafic réseau de Ring. mitmproxy génère un certificat racine x509 qui doit être installé dans le magasin de certificats au niveau du système d'exploitation dans Android, permettant une interception active sur le trafic autrement sécurisé. Cela a conduit l'EFF à la découverte initiale que le certificat racine n'était pas accepté comme valide et qu'une forme d'épinglage de certificat était utilisée par l'application.
L'épinglage de certificat au niveau de l'application se produit lorsqu'une application valide les certificats d'un serveur distant par rapport à un enregistrement de ce certificat stocké dans l'application, plutôt que de valider par rapport à la liste des certificats racine dans le système d'exploitation. Ceci est souvent utilisé comme mesure de sécurité, pour garantir qu'une mauvaise délivrance de certificats ou une mauvaise gestion le long de la chaîne de confiance dans l'ICP ne compromet pas l'intégrité, la confidentialité ou l'authenticité du trafic HTTPS. Malheureusement, cela peut également empêcher les chercheurs en sécurité et les utilisateurs de voir exactement quelles informations ces appareils envoient et à qui. Dans le cas de Ring, l'EFF a initialement observé que tout le trafic intercepté lors du lancement était rejeté, et la fondation n'a pu observer aucune communication.
Ce n'est que grâce à la puissante infrastructure d'analyse dynamique Frida que l'EFF a pu injecter du code dans Ring au moment de l'exécution, ce qui a garanti que le certificat fourni par son instance mitmproxy serait accepté comme valide. Cela lui a permis d'inspecter tout le trafic HTTPS envoyé via l'application.
Conclusion
À ce stade du XXIe siècle, il semblerait de plus en plus prévisible que les appareils que vous utilisez ou que vous gérez vous surveillent et partagent vos données. Et l'EFF de regretter que :
« Ring prétend accorder la priorité à la sécurité et à la confidentialité de ses clients, et pourtant, nous constatons à maintes reprises que ces revendications sont non seulement insuffisantes, mais nuisent également aux clients et aux membres de la communauté qui interagissent avec le système de surveillance de Ring. Dans le passé, nous avons mis en lumière la mauvaise gestion des informations des utilisateurs qui a conduit à des violations de données, et la tentative de rejeter la faute sur de telles erreurs aux pieds des clients.
« Cela va au-delà de cela, en fournissant simplement des données sensibles à des tiers non responsables devant Ring ou liés par la confiance placée dans la relation client-fournisseur. Comme nous l'avons mentionné, cela comprend des informations sur votre appareil et votre opérateur, des identifiants uniques qui permettent à ces entreprises de vous suivre dans les applications, des données d'interaction en temps réel avec l'application et des informations sur votre réseau domestique. Dans le cas de MixPanel, il comprend même votre nom et votre adresse e-mail. Ces données sont données à des parties qui ne sont que brièvement mentionnées, enfouies sur une page interne que les utilisateurs ne verront probablement jamais ou ne sont pas répertoriées du tout ».
Mais il faut également noter ses accords avec les forces de l'ordre. La société a gardé la portée de ses partenariats avec la police secrète jusqu'en août, date à laquelle les rapports de plusieurs médias lui ont fait perdre la main : c'est alors que Ring a admis avoir eu 405 de tels arrangements. Un examen de la liste aujourd'hui révèle que le nombre a plus que doublé au cours des six derniers mois et s'élève désormais à 845 arrangements. Les termes de ces accords sont également quelque peu flous et généralement cachés au public.
Le Congrès a exigé des réponses de Ring concernant la vie privée des utilisateurs. Pendant ce temps, la société fait face à un procès de plusieurs utilisateurs suite à une vague de piratage d'appareils. Les plaignants, qui demandent le statut de recours collectif pour leur poursuite, allèguent que la société n'a pas fourni de mesures de sécurité suffisantes à ses utilisateurs et a décidé de blâmer les utilisateurs de leur propre malheur.
Sources : EFF, Ring
Et vous ?
Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
Profil
J'imagine l'IA de amazon avec nos données d'achat, du cloud, des magasins réels, des caméras ring...
Evil
T'as encore rien vu :nos données d'achat
Les grosses entreprises auront toutes les infos, avec ton smartphone elles sauront en permanence où tu trouves, ainsi que les sites que tu visites, si t'as une enceinte connecté tu seras sur écoute en permanence, etc.
Il y a des algorithmes qui doivent vous connaitre mieux que vos ne vous connaissez vous même (en tout cas ils ont un paquet d'infos sur vous).
Tout ça pour afficher de la pub pour des produits susceptible de vous intéressez. Avec les infos récupéré, les entreprises vont pouvoir créer des appareils et des services qui répondront aux besoins des utilisateurs.
Les médias ont bien fait leur taf ! Les gens se sentent en insécurité permanente à en devenir paranoïaque, des sociétés comme Amazon n'ont plus qu'à se baisser pour ramasser l'argent de cette peur en vendant du matos estampillé "1984". Et en même temps (ouais ! Elle est facile celle-là !) à force d'écouter les autres au lieu de penser par soi-même, on devient forcément une marionnette du système. Il n'y a qu'à voir les réactions de personnes sur le coronavirus chinois, c'est à mourir de rire !
Comme dit Ryu2000 : "T'as encore rien vu".
Il y a eu déjà une news pas trop veille sur l'utilisation abusive de ce matériel Amazone au sein de leur propre secteur d'activité. Ici, on est que dans la continuité du problème.
C'est un peu comme les bonbons avec un dérivé du Titane dedans. Un article parle du fait que ce genre de bonbon sera interdit. Mais au final, l'industrie à déjà deux molécules transformer d'avance aussi nocives. Tout les gros groupes savent quand ils vont à l'encontre de la loi. Ils ont des services qui servent qu'à ça. Et le pire c'est qu'ils feront comme tout les prisonniers. Ils vont nier en bloque jusqu'à que tu leur prouve A+B qu'ils ont fait exprés.
Donc le futur c'est quoi? Une maison avec un serveur physique avec vos données personnels? Qu'on fait migrer au fil des déménagements en passant par le cloud privé? Car, perso je vois que ça en solution. C'est que vos données privées soit chez vous et que toute informations récupérer depuis celui-ci sans votre accord serait une attaque et une atteinte à votre vie privée.
Ou moins d'addiction à la technologie et l'image de réussiste qu'elle véhicule pour vous la vendre?
Bref, c'est pas prêt de s'arrêter et on aura toujours ce genre de News pour nous rappeller la nature humaine réel.
Je ne pense pas que ça ait rapport avec la nature humaine, ça a plus rapport avec la nature des grosses multinationales qui veulent gagner le plus d'argent possible pour faire plaisir aux actionnaires.
Les entreprises achètent et vendent les informations des utilisateurs entre elles.
Avec beaucoup de données on peut faire du Big Data (qui a été utilise pour l’élection de Macron par exemple).
En récupérant les informations personnelles d'un grand nombre de personne on peut leur dire ce qu'ils veulent entendre, ou leur vendre ce qu'ils veulent acheter.
... actionnaires qui sont... humains. Donc ça a bien rapport à la nature humaine. Et sa soif malseine d'argent et de pouvoir.
Mouais, mais ils ne sont pas représentatif de l'ensemble. La plupart des humains en ont strictement rien à foutre des actions et n'en possèdent pas.
Ça concerne ceux qui sont dans le trip capitaliste. Ça n'existe pas depuis des millénaires et ça n'existera peut-être pas pour toujours. L'intégralité des humains ne sont pas obsédé par l'argent.
Le capitalisme, le besoin d'enrichissement personnel, ça ne fait pas partie de la nature humaine. Il y a juste des humains qui ont été perverti par le capitalisme.
Il aurait fallut formuler la phrase autrement, par exemple : si la nature à moins de place, si les courants d'eau sont pollués, si l'air est pollué, si plein d’espèces disparaissent, c'est de la faute aux humains car ils ont laissé le pouvoir à n'importe qui. Ils ne font pas parti activement du problème ils ont juste laisser-faire.
Enfin bref c'est du détail, ce qui est certains c'est que de nombreuses grosses entreprises n'ont aucune éthique et sont prêtent à tout pour augmenter leur profit. Donc elles continueront à acheter et à vendre des informations personnelles et les consommateurs leur donneront de plus en plus d'infos.
La nature humaine c'est la domination. Que ce soit par l'argent, l'influence, la force, le sexe ou je ne sais quoi d'autre.
De tout temps, les empires qui ce sont créer on fait la guerre pour étendre leur territoire, de tout temps les personnes riches ont voulut encore plus d'argent pour être et rester le plus riche, ect....
Tu ne peut pas dire que ce n'est pas la nature humaine... T'es peut être pas avide d'argent, mais ont est tous avide de quelques chose, sinon ont se sent vide et on se laisse mourir. Ce sont nos envie qui nous font avancer.
Peut importe que tu juge t'es envie plus saine ou plus juste, au final c'est ça qui fait que tu va te battre pour affirmer ton point de vue. Et pour beaucoup tout ça, c'est gagner plus d'argent.
Pour information, Amazone c'est certainement plus de 613k de personnes qui travail. (J'ai pas de sources récentes. La plus fraiche que j'ai en visu est 613K ). Avec un PDG qui serait publiquement le plus riche au monde, avec toute l'influence qui ce doit.
Si j'ai bien compris, les actionnaires ne peuvent pas décider de la direction à prendre, sauf "comme dans les films" si une personne ou une entité est actionnaire majoritaire. A ce moment là ta un véto.
Bref, tout ça pour dire que ta un humain qui a une idée, bonne ou mauvaise, et que ça va passer dans différents services, d'où la vente des données (sauf s'il y a eu d'entrée l'idée), et que tout ça c'est validé par un autre groupe d'humain super représentatif de l'entité Amazone et de son PDG avec toute les valeurs que ça incombe. Donc, si demain une invention part en cacahuet on ira pas voir une brique de lait ou des actionnaires. Mais bien le PDG.
Je suis sûr que je pouvais faire plus explicite. Mais franchement. Ryu je taime. J'ai pas envie de sortir la feuille de papier et les crayons de couleurs. (désolé, j'adore blaguer)
De mieux en mieux...
ça deviens même banale ce genre de scandales, et personne ne fait grand chose pour arrêter cela...
Amazon aurait-il répondu aux préoccupations d'un de ses ingénieurs au sujet de la caméra connectée Ring ?
Amazon aurait-il répondu aux préoccupations d'un de ses ingénieurs au sujet de la caméra connectée Ring ?
L'entreprise publie une mise à jour qui donne plus de contrôle à l'utilisateur
Ring est une startup d'origine ukrainienne spécialisée dans la sécurité à domicile qui vend des sonnettes permettant de capturer de la vidéo et de l'audio. Les clips peuvent être diffusés sur les smartphones et autres appareils, tandis que la sonnette permet même aux propriétaires de bavarder à distance avec ceux qui se tiennent à leur porte. Amazon a racheté la société en 2018 pour un montant de 1 milliard de dollars.
En fin d'année dernière, les sonnettes connectées d’Amazon ont été piratées et un chercheur en sécurité de Bitdefender a découvert que 1 562 adresses e-mail et les mots de passe correspondants étaient à vendre sur le dark web depuis ce mardi 17 décembre 2019. En les utilisant, il est possible de se connecter et d’accéder aux caméras. Plus inquiétant encore : les accès permettent aux pirates d’accéder à l’ensemble des appareils connectés reliés aux sonnettes Ring. En se connectant au compte, il est aussi possible de consulter des données personnelles telles que le numéro de téléphone, l’adresse ou les informations de paiement du propriétaire.
Après cet incident, un utilisateur a porté plainte, avançant que la conception défectueuse des caméras rend les acheteurs vulnérables aux cyberattaques. Dans un recours collectif proposé jeudi, John Baker Orange a déclaré qu'un hacker avait récemment accédé à sa caméra Ring alors que ses enfants, âgés de 7, 9 et 10 ans, jouaient au basket-ball dans l'allée, et grâce à son système de haut-parleurs les a encouragés à se rapprocher de l'appareil photo.
C'est également cet incident qui a mis en lumière les pratiques de certains employés de Ring qui regardaient les vidéos de surveillance des clients. L'entreprise a assuré aux sénateurs que, lorsqu'elle a découvert cet abus, elle a licencié les coupables : « Nous sommes au courant des incidents mentionnés ci-dessous où des employés ont violé nos politiques », ajoutant « qu'au cours des quatre dernières années, Ring a reçu quatre plaintes ou demandes de renseignements concernant l'accès d'un membre de l'équipe aux données vidéo de Ring. Bien que chacune des personnes impliquées dans ces incidents ait été autorisée à consulter les données vidéo, la tentative d'accès à ces données a dépassé ce qui était nécessaire pour leurs fonctions. Dans chaque cas, une fois que Ring a été mis au courant de la conduite présumée, il a rapidement enquêté sur l'incident et, après avoir déterminé que la personne avait enfreint la politique de l'entreprise, il l'a congédiée ».
Un ingénieur Amazon pense que « Ring devrait être fermé »
Le groupe de défense Amazon Employees For Climate Justice a publié des commentaires d'une centaine d'employés (363) Amazon comme un moyen de protester contre la politique de communication externe de l'entreprise. Bien que l'initiative Amazon Employees For Climate Justice soit lancée pour parler des effets de la politique d'Amazon sur la crise climatique, les défenseurs ont indiqué : « il ne s'agit pas seulement du climat : il en va également de notre capacité à parler d'autres questions comme le racisme et le sexisme dans le secteur technologique, le traitement des employés en entrepôt, les dons aux politiciens anti-LGBTQ et la complicité avec l'ICE ».
C'est dans ce contexte que s'est exprimé l'ingénieur Max Eliaser au sujet de Ring, notant que « le déploiement de caméras de sécurité connectées à domicile qui permettent d'interroger des images de manière centralisée n'est tout simplement pas compatible avec une société libre. Les problèmes de confidentialité ne peuvent pas être résolus avec la réglementation et il n'y a pas d'équilibre qui puisse être trouvé. Ring devrait être fermé immédiatement et non ramené ».
La réponse d'Amazon ?
Quelques jours après cette déclaration, Amazon a publié un nouveau centre de contrôle pour Ring. Il a institué quelques paramètres plus soucieux de la confidentialité.
« Chez Ring, notre mission est de rendre les quartiers plus sûrs. Au cœur de cette mission se trouvent nos clients - des voisins dévoués partout qui travaillent ensemble pour rendre leurs communautés plus sûres. Nous pensons que la confidentialité, la sécurité et le contrôle des utilisateurs sont plus que de simples idées; ce sont les outils que nos clients utilisent pour protéger leurs maisons, leurs proches et leurs quartiers.
« C'est pourquoi nous lançons aujourd'hui le nouveau Control Center, une fonctionnalité de l'application Ring qui permet aux clients de gérer les paramètres de confidentialité et de sécurité importants à partir d'un tableau de bord simple et facile à utiliser. Cette fonctionnalité sera déployée pour tous les utilisateurs dans les prochains jours et nécessitera la mise à jour de l'application Ring vers la dernière version sur iOS et Android. Elle peut être trouvée en cliquant sur l'icône du menu déroulant dans le coin supérieur gauche de l'application. Avec Control Center, les clients peuvent :
- vérifier s'ils ont activé l'authentification à deux facteurs pour leur compte Ring ;
- afficher et supprimer tous les appareils et services tiers autorisés à se connecter à leur compte Ring ;
- ajouter et supprimer des utilisateurs partagés sur leur compte ;
- désactiver la réception de notifications de demande de vidéo lorsque la police locale recherche des informations liées à une enquête.
« La sécurité et la confidentialité ont toujours été notre priorité absolue. Le nouveau Control Center est l'une des nombreuses fonctionnalités que nous cherchons à introduire cette année et qui permet aux clients de mieux contrôler la sécurité et la confidentialité de leur appareil ».
L'équipe affirme que le centre de contrôle répertorie l'état d'authentification à deux facteurs de votre compte en haut du nouveau tableau de bord. Si vous n'aviez pas autorisé l'authentification à deux facteurs auparavant, il suffit désormais de quelques clics dans l'application pour accéder facilement à cette fonctionnalité et l'activer pour plus de sécurité. Lorsque l'authentification à deux facteurs est activée, vous devrez fournir le code de vérification unique qui est envoyé par SMS à votre numéro de téléphone lorsque vous ou quelqu'un d'autre tentez de vous connecter à votre compte Ring. Cela réduit la possibilité que quelqu'un accède à votre compte Ring sans votre autorisation.
Si vous souhaitez autoriser des membres de votre famille ou des amis proches à accéder à vos appareils Ring, vous pouvez toujours les ajouter (et les supprimer) en tant qu'utilisateur partagé sur votre compte depuis le centre de contrôle de l'application Ring. Pas besoin de partager vos identifiants de connexion avec qui que ce soit.
Le centre de contrôle est également utile pour ceux qui utilisent plusieurs appareils pour accéder et contrôler leur compte Ring - comme une tablette à la maison, un téléphone portable ou un ordinateur au travail. La nouvelle fonctionnalité vous permet de voir tous les appareils autorisés à se connecter à votre compte Ring et de les déconnecter facilement à tout moment. À partir du centre contrôle, vous pouvez également afficher et déconnecter toute application ou tout service individuel lié à votre compte Ring, comme Alexa, lorsque vous en avez besoin.
Refuser de recevoir des notifications de demande de vidéo lorsque la police locale recherche des infos
L'une de ses nouvelles fonctionnalités implique la possibilité de « refuser de recevoir des notifications de demande de vidéo lorsque la police locale recherche des informations liées à une enquête ». Pour certains, cela peut être un début, ou même une réaction rapide aux commentaires d'Eliaser. Beaucoup voudront peut-être croire que les mots forts d'un employé pourraient apporter une réaction positive.
Malheureusement, ce nouveau centre de contrôle ne donne aux clients que la possibilité de se retirer, plutôt que d'avoir la valeur par défaut inversée. Cependant, il informe au moins les clients des services de police qui ont rejoint l'application Ring Neighbors et sont donc plus susceptibles de faire des demandes.
« L'application Neighbours permet aux utilisateurs de partager et de recevoir des mises à jour locales sur la criminalité et la sécurité, ainsi que de télécharger des vidéos, des photos et des messages texte et d'obtenir des alertes en temps réel de voisins et de sources officielles. Dans les communautés où la police locale utilise l'application Neighbours, les utilisateurs peuvent choisir de partager des informations ou des enregistrements vidéo lorsque la police locale recherche des informations pertinentes pour une enquête dans leur région en utilisant l'outil de demande de vidéo.
« Par exemple, à Westminster, en Californie, l'outil de demande de vidéo a aidé à récupérer des armes volées après que le service de police a reçu des centaines de vidéos de leur demande qui ont permis d'identifier les véhicules impliqués dans le vol d'un coffre-fort. L'outil de demande de vidéo a également été utile à Pembroke Pines, en Floride, où des vidéos partagées par des résidents via l'application Neighbors ont aidé la police à identifier et à arrêter des suspects pour cambriolage et vol.
« Avec l'outil de demande de vidéo, la police ne peut pas voir vos enregistrements vidéo à moins que vous ne choisissiez explicitement de les partager en répondant à une demande vidéo spécifique. Bien que vous ayez toujours eu la possibilité de vous désinscrire de ces demandes après avoir reçu votre première, le centre de contrôle garantit désormais que vous n'avez pas à attendre cette première demande - vous pouvez facilement vous désinscrire dès le départ. Le centre de contrôle vous permet également d'apprendre comment Ring protège vos informations personnelles et vos enregistrements vidéo lorsque la police locale utilise l'outil de demande de vidéo.
« En plus de vous aider à améliorer votre confidentialité et votre sécurité, le nouveau centre de contrôle comprend une Active Law Enforcement Map. Cette carte montre quels services de police ont rejoint l'application Neighbours, y compris ceux de votre région. Nous espérons que cela vous aidera à savoir quand la police travaillera avec votre communauté ».
Ring a insisté sur le fait que « ce n'est que le début. Les futures versions de centre de contrôle offriront aux utilisateurs la possibilité de visualiser et de contrôler encore plus de fonctionnalités de confidentialité et de sécurité ». Mais les clients devront sans aucun doute faire l'effort eux-mêmes.
La société de Jeff Bezos a rarement montré sa volonté de se plier aux préoccupations du public, ce qui peut sembler étrange pour une société qui prétend être entièrement axée sur le client. Cela pourrait peut-être changer un peu. Peut-être que le fait qu'un de ses propres employés a publiquement demandé la fermeture d'un produit clairement intrusif a surpris l'entreprise.
Certains pourraient cependant s'inquiéter du fait qu'en fin de compte Amazon, de concert avec de nombreuses autres sociétés de technologie, pense que les clients sont parfaitement disposés à autoriser l'état de surveillance parce qu'ils sont trop accrochés à la commodité et à toute technologie qui leur permet de faire moins effort. Peut-être cela est vrai jusqu'à ce qu'ils soient enregistrés par la caméra Ring d'un voisin et accusés d'avoir fait quelque chose de mal.
Source : Ring (1, 2)
Et vous ?
Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
Amazon conserve des enregistrements de chaque mouvement détecté par ses sonnettes Ring
Amazon conserve des enregistrements de chaque mouvement détecté par ses sonnettes Ring,
ainsi que l'heure exacte à laquelle ils sont enregistrés à la milliseconde près
Les détails ont été révélés via une demande de données soumise par la BBC. Il a également révélé que chaque interaction avec l'application Ring est également stockée, y compris le modèle de téléphone ou de tablette et le réseau mobile utilisés.
Une experte a déclaré que cela donnait à Amazon la possibilité d'avoir un aperçu encore plus large de la vie de ses clients : « Ce qui est le plus intéressant, ce ne sont pas seulement les données elles-mêmes, mais tous les modèles et informations qui peuvent en être tirés », a commenté Frederike Kaltheuner, experte indépendante en matière de confidentialité. « Savoir quand quelqu'un sonne à votre porte, à quelle fréquence et pendant combien de temps, peut indiquer quand quelqu'un est à la maison ».
« Si personne ne sonnait jamais à votre porte, cela dirait probablement aussi quelque chose sur votre vie sociale ». Elle a ajouté que l'on ne savait toujours pas combien de données « anonymisées » supplémentaires étaient également collectées.
« Il ne s'agit pas seulement de confidentialité, mais de la puissance et de la valeur monétaire attachées à ces données ». Amazon déclare utiliser les informations pour évaluer, gérer et améliorer ses produits et services.
La BBC a initialement fait la Data Subject Access Request (DSAR, une demande manuscrite faite par ou au nom d'une personne pour obtenir des informations qu'elle est en droit de demander en vertu de l'article 7 de la loi de 1998 sur la protection des données) à la personne concernée en janvier pour établir une enquête plus large sur la manière dont Amazon collecte et utilise les informations sur ses clients.
Les enregistrements finalement fournis allaient du 28 septembre 2019 au 3 février 2020. Une sonnette vidéo Ring 2 a été utilisée pendant tout ce temps, et une Ring Indoor Cam a été ajoutée au compte au cours de la dernière quinzaine.
Au cours de la période, 1 939 « événements de caméra » ont été documentés.
Ceux-ci comprenaient:
- un mouvement détecté par les capteurs des caméras
- un « tintement » de la sonnette, lorsque son bouton avait été enfoncé par un visiteur
- une action à distance « à la demande » de l'utilisateur pour obtenir un flux vidéo et audio en direct et/ou parler à distance à un visiteur.
Dans chaque cas, la durée d'activation de l'équipement a également été enregistrée.
Ring dit que ses caméras utilisent l'analyse du visage et de la forme du corps pour aider à différencier les humains des autres êtres vivants afin de minimiser les fausses alarmes. Cependant, il n'y avait aucune indication de différents types de mouvement détectés dans les données partagées.
Un échantillon de la base de données «événement», qui a été modifiée pour masquer les ID de périphérique
Coordonnées de la caméra
La plus grande base de données fournie a documenté chaque interaction avec les applications de Ring.
Elle a répertorié 4 906 actions sur une période de 129 jours.
Celles-ci comprenaient:
- chaque ouverture de l'application
- chaque fois que l'utilisateur « zoomait » via une pincée de doigts pour visualiser plus clairement les images
- une variété de différentes classes de tapotements d'écran
- des détails du début et de la fin de chaque vue en direct
Dans chaque cas, le modèle d'appareil utilisé, la version de son système d'exploitation, le type de connexion de données mobile impliquée et le fournisseur de réseau étaient tous répertoriés. Parmi les autres enregistrements figuraient les détails des coordonnées de latitude et de longitude des deux appareils, fournis à 13 décimales. En théorie, cela indiquerait où les produits avaient été installés à 0,00001 mm près.
Lorsqu'elles ont été vérifiées via un outil en ligne, les lectures correspondaient à la bonne propriété. Cependant, comme les mêmes coordonnées ont été données pour les deux appareils (qui étaient basés dans différentes parties du bâtiment) il semble qu'Amazon ne connaisse pas l'emplacement des produits avec ce degré de précision.
La pointe de l’iceberg
Au total, 11 bases de données ont été partagées contenant près de 26 500 champs individuels.
L'avis de confidentialité de Ring indique que d'autres données sont également collectées pour analyse, qui sont anonymisées afin qu'elles ne puissent pas être liées à des comptes individuels
« Les demandes d'accès aux données ne nous montrent que la partie visible de l'iceberg de la quantité de données que les entreprises collectent sur nous », a commenté Kaltheuner. « Il y a une énorme valeur - et un grand pouvoir - à collecter des données non personnelles à toutes sortes de fins : études de marché, formation et IA », a-t-elle continué.
Et de préciser que « même les données anonymes peuvent avoir des implications sur la vie privée, par exemple sur la vie privée collective, par exemple, d'un bloc de logements, d'un groupe de personnes ou d'un logement ».
Aucun fichier vidéo n'a été inclus dans la réponse DSAR.
Ring a justifié cette omission au motif que son application permet déjà de télécharger les clips jusqu'à 30 jours si l'utilisateur avait un abonnement payant. L’entreprise assure qu’une fois ce délai passé, chaque enregistrement avait été définitivement supprimé. Elle a ajouté que si un utilisateur n'était pas abonné à un plan, Ring ne conservait aucun enregistrement.
L'opération de vente au détail d'Amazon et sa filiale Ring opèrent sous différents contrôleurs de données.
La BBC a demandé si les deux pourraient mettre leurs dossiers à la disposition l'un de l'autre pour pouvoir utiliser conjointement les informations - par exemple, en utilisant les données de Ring pour voir quand une famille était généralement à la maison afin d'aider à planifier les livraisons de colis.
Cependant, l'entreprise a refusé de répondre.
Source : BBC
Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
Les sonnettes de porte bon marché peuvent être facilement piratées, selon Consumer Reports
Les sonnettes de porte bon marché peuvent être facilement piratées,
selon Consumer Reports
Selon Consumer Reports, les sonnettes vidéo bon marché, vendues entre 30 et 40 dollars sur des plateformes telles qu'Amazon et Walmart, présentent des failles de sécurité alarmantes. L'enquête a ciblé deux marques, Eken et Tuck, qui partagent un matériel similaire produit en Chine par le groupe Eken. Ces caméras, revendues sous différentes marques, utilisent une application mobile commune, Aiwit, mais partagent également des vulnérabilités graves. Consumer Reports a identifié des risques tels que l'envoi non crypté d'adresses IP et de noms Wi-Fi, la prise de contrôle via le mode d'appairage, et l'accès à des images vidéo en connaissant le numéro de série de la caméra. L'absence de code d'enregistrement FCC pour les caméras Eken a également été soulignée.
Malgré les avertissements, ces produits restent largement disponibles en ligne. Consumer Reports a contacté les vendeurs concernés, mais certains continuent de proposer des produits similaires. Des représentants de Temu et Walmart ont réagi en cessant la vente des sonnettes signalées, mais des modèles similaires persistent. Amazon n'a pas encore répondu aux demandes de commentaires. Cette révélation souligne les préoccupations croissantes quant à la sécurité et à la protection de la vie privée liées aux dispositifs IoT bon marché, en dépit des tendances antérieures telles que celles concernant les sonnettes Ring et les caméras Eufy.
Dans le cadre de son évaluation de routine, Consumer Reports a examiné les sonnettes vidéo Eken et Tuck qui semblaient être le même produit sous des noms de marque différents. Un examen plus approfondi par les chercheurs de Consumer Reports a révélé des vulnérabilités en matière de sécurité. Consumer Reports a également découvert que ces deux produits et au moins 10 autres sonnettes vidéo apparemment identiques sont vendus sous différents noms de marque sur diverses places de marché numériques. Ils sont tous fabriqués par une seule société, Eken Group Ltd, basée à Shenzhen, en Chine, et contrôlés par une seule application mobile appelée Aiwit, qu'Eken exploite également.
Voici un aperçu des problèmes de sécurité posés par les sonnettes vidéo :
- l'exposition des adresses IP et des noms de réseaux WiFi d'un utilisateur à Internet sans chiffrement, ce qui peut ouvrir le réseau domestique d'un utilisateur à des activités malveillantes ;
- possibilité pour des acteurs malveillants potentiels de prendre le contrôle de l'appareil en téléchargeant l'application pour smartphone Aiwit et en mettant la sonnette en mode couplage, ce qui permet à un acteur malveillant de prendre possession de l'appareil, de visionner les séquences et de verrouiller le propriétaire de l'appareil ;
- accès à distance aux images fixes du flux vidéo et à d'autres informations sans authentification, en acquérant le numéro de série de la sonnette ;
- l'absence d'un code d'enregistrement qui doit être visible sur cette catégorie de produits, conformément à la réglementation de la Commission fédérale des communications (FCC).
Eken, Tuck et les autres marques ne sont pas des noms très connus sur le marché des sonnettes vidéo, mais elles se vendent relativement bien en ligne. Les sonnettes apparaissent dans plusieurs listes sur Amazon - nous en avons trouvé huit pour la sonnette vidéo Eken et trois pour la version Tuck du produit. Ces listes ont généré plus de 4 200 ventes pour le seul mois de janvier 2024. Au cours des derniers mois, les sonnettes vidéo Eken et Tuck ont souvent porté des badges indiquant « Amazon's Choice : Choix général ». Les badges sont apparus même après que Consumer Reports a alerté Amazon sur les problèmes de sécurité.
Justin Brookman, directeur de la politique technologique chez Consumer Reports, a déclaré : « Ces sonnettes vidéo de fabricants peu connus présentent de sérieuses failles en matière de sécurité et de protection de la vie privée, et elles se sont retrouvées sur de grands marchés numériques tels qu'Amazon et Walmart. Les fabricants et les plateformes qui vendent ces sonnettes ont la responsabilité de veiller à ce que ces produits ne mettent pas les consommateurs en danger. Les grandes plateformes de commerce électronique comme Amazon et Walmart doivent mieux contrôler les vendeurs et les produits vendus sur leurs plateformes, afin que les consommateurs ne soient pas mis en danger. Il est clair que nous avons besoin de nouvelles règles pour responsabiliser davantage les vendeurs en ligne. »
Des sonnettes vidéo vulnérables commercialisées par Amazon et autres grandes plateformes de vente
Amazon serait en train de commercialiser des sonnettes vidéo présentant des vulnérabilités significatives en matière de sécurité. Ces appareils sont également disponibles chez Walmart, Sears, ainsi que d'autres détaillants, et ces grandes plateformes n'auraient que peu de conséquences pour la vente de produits défectueux. Un après-midi de jeudi, une journaliste de Consumer Reports a reçu un courrier électronique avec une image granuleuse d'elle-même faisant signe à une caméra de sonnette installée à sa porte arrière. Bien que cela aurait pu être alarmant s'il venait d'un inconnu, il s'est avéré être envoyé par Steve Blair, un ingénieur de Consumer Reports spécialisé dans les tests de sécurité et de confidentialité. Blair avait réussi à pirater la sonnette à une distance de 2 923 km.
Toutes les sonnettes évaluées utilisent l'application Aiwit sur smartphone
Blair avait obtenu des images similaires de sonnettes connectées aux domiciles d'autres employés de CR et d'un appareil dans le laboratoire de test de Yonkers, dans l'État de New York. Bien que l'accès à ces dispositifs ait été anticipé, la réception de photos de la terrasse et du jardin du journaliste a suscité une certaine surprise. Après tout, les sonnettes vidéo sont censées aider à surveiller les visiteurs à la porte, non à permettre à d'autres de vous observer.
Blair a pu capturer ces images en identifiant, avec son collègue ingénieur d'essai David Della Rocca, des failles sérieuses dans cette sonnette et dans d'autres modèles vendus sous différentes marques mais apparemment fabriqués par le même fabricant. De plus, ces sonnettes ne portent pas d'identifiant FCC visible, contrairement à la réglementation en vigueur, rendant leur distribution illégale aux États-Unis.
Ces sonnettes vidéo, potentiellement dangereuses, se vendent en grande quantité chaque mois sur diverses plateformes en ligne, dont Amazon, Walmart, Sears, Shein et Temu. Les experts affirment que ces produits ne sont que la pointe de l'iceberg parmi les nombreux appareils électroniques bon marché et peu sûrs provenant de fabricants chinois et vendus aux États-Unis. Des responsables de la régulation ont déjà signalé la disponibilité massive sur Amazon de milliers de produits peu sûrs, allant des vêtements de nuit pour enfants potentiellement dangereux aux détecteurs de monoxyde de carbone et compléments alimentaires.
Un risque majeur découvert par Consumer Reports
Blair et Della Rocca ont identifié des problèmes lors de l'évaluation de plusieurs sonnettes vidéo dans le cadre du programme d'évaluation régulier de Consumer Reports. Ces dispositifs étaient commercialisés sous les marques Eken et Tuck. Les deux sonnettes se sont distinguées non seulement par leurs problèmes de sécurité, mais aussi par leur apparente identité, bien que vendues sous des noms de marque différents. Des recherches en ligne ont révélé que plus de 10 autres sonnettes, paraissant identiques, étaient vendues sous diverses marques, toutes gérées par la même application mobile, Aiwit, appartenant à Eken. Deux de ces produits, sous les marques Fishbot et Rakeblue, ont été achetés par Consumer Reports, révélant les mêmes vulnérabilités.
Les risques de sécurité sont critiques, pouvant permettre à des personnes mal intentionnées de prendre le contrôle des sonnettes et de surveiller les activités des occupants de la maison. Consumer Reports a tenté de contacter les sociétés Eken et Tuck pour les informer des problèmes, mais n'a pas reçu de réponse. Les sonnettes exposent l'adresse IP et le nom du réseau WiFi sans chiffrement, ouvrant potentiellement les réseaux domestiques à des cybercriminels. Les experts s'inquiètent également de la sécurité insuffisante des serveurs stockant les vidéos. Ces vulnérabilités sont particulièrement préoccupantes pour les victimes de violence domestique, exposant leur domicile à une surveillance indésirable.
Les failles de sécurité permettraient à toute personne ayant un accès physique à une sonnette de prendre le contrôle de l'appareil sans compétences en piratage. Le scénario d'un ex-petit ami violent surveillant les allées et venues de sa cible a été illustré, soulignant le danger potentiel de ces dispositifs mal sécurisés. La méthode d'appairage utilisée par ces sonnettes, qui ne nécessite pas de mot de passe ou de compte, peut permettre à des harceleurs d'accéder à distance aux images vidéo même après avoir perdu l'accès initial. L'absence de contrôles d'accès de base suscite des inquiétudes quant à la sécurité de ces dispositifs connectés, mettant en danger la vie privée des utilisateurs.
Justin Brookman, directeur de la politique technologique chez Consumer Reports, souligne la nécessité pour les grandes plateformes de commerce électronique, telles qu'Amazon, d'assumer une plus grande responsabilité quant aux dommages causés par les produits qu'elles vendent. Il suggère qu'elles pourraient faire davantage pour superviser les vendeurs et traiter les plaintes, au lieu de simplement s'appuyer sur leur réputation et laisser des produits défectueux entre les mains de consommateurs mal informés.
Pour créer leurs produits, ces entreprises peuvent s'inspirer d'un modèle de référence d'une société de puces qui fabrique les cerveaux des appareils électroniques, acheter les composants électroniques nécessaires dans des usines voisines, fabriquer un boîtier en plastique bon marché, puis assembler le produit final. Selon Huang, certaines entreprises chinoises peuvent assembler un nouvel appareil électronique en deux semaines seulement. Toutefois, ce type de développement rapide et bon marché ne se prête pas à la cybersécurité, selon Steve Hanna, responsable de la stratégie et de la technologie de sécurité de l'IdO chez Infineon Technologies, une société de semi-conducteurs.
« Il est toujours vrai que construire un produit plus sûr coûte plus cher », explique-t-il, mais pour de nombreuses entreprises IoT à bas prix, il n'y a guère d'incitation économique à inclure la sécurité, car elle est invisible pour la plupart des consommateurs. Si ces produits n'ont pas été contrôlés par Amazon, pourquoi reçoivent-ils le label Amazon's Choice ? Selon une FAQ de l'entreprise, cette désignation est basée sur « l'évaluation, le prix, la popularité, la disponibilité du produit et la rapidité de livraison ». Elle est générée dynamiquement par un algorithme et peut apparaître soudainement, puis disparaître tout aussi rapidement.
Temu a déclaré par courriel qu'elle examinait les conclusions de Consumer Reports et qu'elle avait retiré de son site Web toutes les sonnettes vidéo utilisant l'application Aiwit et fabriquées par Eken, mais que des sonnettes d'apparence similaire, voire identiques, restaient sur le site. Walmart a indiqué à CR par courriel qu'il s'attendait à ce que les produits vendus sur son marché « soient sûrs, fiables et conformes à nos normes et à toutes les exigences légales ». Les articles identifiés comme ne répondant pas à ces normes ou exigences seront rapidement retirés du site web et resteront bloqués. À la mi-février, il était encore possible d'acheter les sonnettes vidéo sur Walmart. Amazon, Sears et Shein n'ont pas répondu aux questions des journalistes de la CR.
Consumer Reports demande à la FTC de mettre fin à la vente en ligne de ces sonnettes vidéo et invite les détaillants en ligne à prendre des mesures pour garantir la qualité des produits qu'ils vendent, comme le feraient les supermarchés ou les grands magasins. Amazon, Walmart et les autres détaillants en ligne devraient réagir avec force lorsque des problèmes sont découverts, notamment en contactant les clients qui ont acheté des articles qui se sont révélés nocifs.
La CR a également envoyé une lettre à la FTC, à la Federal Communications Commission et au bureau du procureur général de Californie pour les alerter sur les failles de sécurité associées à ces sonnettes. Les autorités de régulation ont déjà affirmé que des milliers de produits dangereux, notamment des vêtements de nuit pour enfants, des détecteurs de monoxyde de carbone et des compléments alimentaires, étaient largement disponibles sur Amazon.
Note de la FCC sur les exigences d'étiquetage des équipements
Les informations d'étiquetage et de conformité requises pour un produit sont déterminées par la procédure d'autorisation de l'équipement conformément aux règles spécifiques de la FCC applicables à ce produit. La FCC propose deux procédures d'autorisation des équipements : la Déclaration de Conformité du Fournisseur (SDoC) et la Certification.
Les règles de la FCC qui s'appliquent à l'appareil RF autorisé précisent la procédure d'autorisation de l'équipement à utiliser. Les exigences en matière d'étiquetage pour l'appareil RF varient en fonction du type d'autorisation d'équipement utilisé. Pour les dispositifs composites, comprenant à la fois des émetteurs radio et des circuits numériques, le SDoC peut être utilisé pour la partie circuit numérique et la certification pour la partie émetteur. Cependant, la certification peut également servir à démontrer la conformité à la fois de l'émetteur et des circuits numériques.
Déclaration de Conformité du Fournisseur (SDoC)
Identification du produit
Les exigences relatives à l'identification du produit (étiquetage) et aux informations de conformité pour un dispositif soumis au SDoC exigent que chaque dispositif soit identifié de manière unique, utilisant par exemple une étiquette mentionnant un nom commercial et un numéro de type ou de modèle. Les utilisateurs finaux doivent recevoir une déclaration de conformité pour le produit.
L'identifiant unique peut prendre diverses formes, telles qu'un nom commercial et un numéro de type, un numéro de modèle, un numéro de série, ou tout autre moyen interne utilisé lors du processus de fabrication.
Informations de conformité
Une déclaration d'informations de conformité doit être fournie avec le produit au moment de la commercialisation ou de l'importation. Elle comprend l'identification du produit (nom commercial, modèle, etc.), une déclaration de conformité aux règles pertinentes, le nom, l'adresse, le numéro de téléphone ou les coordonnées Internet du contact de la partie responsable située aux États-Unis.
Informations relatives à la conformité des produits assemblés
Conformément à la loi, les points suivants s'appliquent aux produits assemblés à partir de composants modulaires autorisés en vertu du SDoC ou d'une certification. Ils doivent être accompagnés d'une déclaration de conformité contenant l'identification du produit assemblé, l'identification des composants modulaires autorisés utilisés, une déclaration de conformité aux règles appropriées, et les coordonnées de la partie responsable ayant effectué l'assemblage. Pour les dispositifs SDoC, la partie responsable doit être située aux États-Unis, et des copies des déclarations d'information sur la conformité pour chaque composant modulaire autorisé doivent être fournies.
Certification
Afin d'obtenir la certification, le produit doit comporter une plaque signalétique ou une étiquette portant l'identifiant FCC (FCC ID). L'identifiant FCC doit toujours être accessible pendant l'utilisation du produit. Il doit être physiquement présent sur le produit, à moins qu'une étiquette électronique ne soit utilisée. Les étiquettes physiques d'identification FCC doivent être positionnées sur la surface du produit ou dans un compartiment non détachable accessible à l'utilisateur, tel que le compartiment à piles. Cette étiquette doit être solidement apposée de manière permanente, garantissant une identification certaine de l'appareil. La police de caractères doit être aisément lisible et proportionnée aux dimensions de l'équipement et de la zone d'étiquetage.
Si le dispositif est de taille réduite ou destiné à une utilisation particulière ne permettant pas l'application d'une étiquette avec une taille de police de quatre points ou plus (et que le dispositif n'utilise pas d'étiquetage électronique), l'identifiant FCC doit figurer dans le manuel de l'utilisateur. L'identifiant FCC doit également être présent sur l'emballage du dispositif ou sur une étiquette amovible.
Étiquetage électronique
Les produits équipés d'un écran intégré ou ne fonctionnant qu'avec un autre produit doté d'un écran électronique peuvent afficher sur cet écran l'identifiant FCC, les avertissements ou toute autre information requise par les règles de la Commission.
Informations sur l'emballage
L'emballage de certains dispositifs RF doit contenir des informations E-Label. Les dispositifs affichant leur identifiant FCC, des avertissements ou d'autres informations par voie électronique doivent être étiquetés, soit sur le dispositif, soit sur son emballage, avec l'identifiant FCC et d'autres informations (telles qu'un numéro de modèle) permettant d'identifier les dispositifs lors de l'importation, de la commercialisation et de la vente comme étant conformes aux exigences d'autorisation d'équipement de la FCC.
Cette exigence s'ajoute à l'étiquetage électronique du dispositif. Les dispositifs peuvent être étiquetés à l'aide d'une étiquette autocollante, d'une étiquette imprimée sur l'emballage, d'une étiquette sur un sac de protection ou par d'autres moyens similaires. Toute étiquette amovible doit être conçue pour résister à une expédition et à une manipulation normale et ne doit être retirée par le client qu'après l'achat. Pour les amplificateurs de signaux, les avis doivent être inclus dans les documents de commercialisation en ligne, le manuel d'utilisation, les instructions d'installation imprimées ou en ligne, l'emballage extérieur de l'appareil et sur une étiquette apposée sur l'appareil.
Comment les entreprises chinoises séduisent Amazon malgré les problèmes de sécurité
Au cours des derniers mois, les sonnettes vidéo Eken et Tuck ont fréquemment affiché le badge Amazon's Choice malgré les problèmes de sécurité signalés à Amazon par CR. Pour de nombreux acheteurs, ce label peut laisser penser qu'Amazon a consciemment sélectionné et recommandé cette sonnette vidéo en raison de sa qualité. Cependant, la réalité est différente.
Au cours des derniers mois, les sonnettes vidéo Eken et Tuck vendues sur Amazon ont souvent porté le label Amazon's Choice : Choix général
Comme plus de 60 % des articles vendus sur Amazon, les produits d'Eken sont mis en ligne par des vendeurs indépendants, Amazon se chargeant généralement des services logistiques tels que l'entreposage, l'expédition et les retours. Tout individu peut vendre presque n'importe quel produit sur Amazon, qui a généré environ 140 milliards de dollars de chiffre d'affaires avec des vendeurs tiers en 2023.
Cette approche offre aux acheteurs une large gamme de produits, mais elle peut également rendre difficile la compréhension de ce que l'on achète et qui est le vendeur. Les dix marques de sonnettes, ainsi que l'application Aiwit, semblent appartenir à une société de 18 ans appelée Eken Group Ltd, basée à Shenzhen, en Chine, avec un bureau en Californie du Sud situé dans un appartement à Temple City.
Pour de nombreuses entreprises technologiques chinoises, la stratégie de vendre du matériel bon marché sous différentes marques peut stimuler les ventes dans une catégorie de produits très populaire, jusqu'à ce qu'elle ne le soit plus. C'est ce que souligne Andrew Huang, ingénieur émérite et expert en logiciels, auteur de The Essential Guide to Electronics in Shenzhen (Le guide essentiel de l'électronique à Shenzhen). Selon Huang, ces entreprises adoptent une approche agile, changeant de produit en fonction des tendances du marché.
Huang explique que pour le marché des caméras de sécurité, la marque est davantage un élément de marketing, réalisant quelques ajustements esthétiques, mais n'ayant pas nécessairement de stocks importants, leur existence fluctuant selon les tendances du marché des matières premières. Pour développer leurs produits, ces entreprises peuvent s'inspirer de modèles de référence de sociétés de puces électroniques, acheter des composants électroniques dans des usines locales, fabriquer un boîtier en plastique peu coûteux, puis assembler le produit final. Selon Huang, certaines entreprises chinoises peuvent assembler un nouvel appareil électronique en seulement deux semaines.
Cependant, cette approche de développement rapide et économique ne favorise pas la cybersécurité, selon Steve Hanna, responsable de la stratégie et de la technologie de sécurité de l'IdO chez Infineon Technologies, une société de semi-conducteurs. Il souligne que la création d'un produit plus sûr implique des coûts supplémentaires, mais pour de nombreuses entreprises IoT à bas prix, l'incitation économique à inclure la sécurité est minime, car elle demeure invisible pour la plupart des consommateurs.
En ce qui concerne l'attribution du label Amazon's Choice à ces produits, même s'ils ne sont pas vérifiés par Amazon, l'entreprise explique que cette désignation repose sur des critères tels que l'évaluation, le prix, la popularité, la disponibilité du produit et la rapidité de livraison. Elle est générée dynamiquement par un algorithme, apparaissant et disparaissant de manière spontanée.
Inquiétudes grandissantes sur la sécurité des dispositifs IoT bon arché
Cette enquête de Consumer Reports met en lumière des problèmes de sécurité sérieux liés aux sonnettes vidéo bon marché, particulièrement celles vendues entre 30 et 40 dollars sur des plateformes populaires comme Amazon et Walmart. Les marques Eken et Tuck, ciblées par l'enquête, partagent un matériel similaire produit en Chine par le groupe Eken, exposant ainsi des failles de sécurité alarmantes.
L'une des principales préoccupations soulevées par Consumer Reports concerne la vulnérabilité des données sensibles, telles que les adresses IP et les noms Wi-Fi, qui sont envoyées de manière non chiffrée. De plus, la possibilité de prendre le contrôle de la sonnette via le mode d'appairage et l'accès aux images vidéo en utilisant simplement le numéro de série de la caméra sont des risques inacceptables pour la sécurité des utilisateurs.
La constatation selon laquelle les caméras Eken ne disposent pas de code d'enregistrement FCC ajoute une autre couche de préoccupation, soulignant un manquement aux normes réglementaires et de sécurité. Malgré ces problèmes graves, les produits restent largement disponibles en ligne, mettant potentiellement en danger un grand nombre d'utilisateurs inconscients de ces vulnérabilités.
Le fait que certains vendeurs aient cessé la vente des sonnettes signalées en réaction à la mise en lumière de ces problèmes est une réaction positive, mais la persistance de modèles similaires souligne la nécessité d'une action plus ferme de la part des plateformes de vente en ligne, notamment Amazon. L'absence de réponse de la part d'Amazon à ce stade est préoccupante, car cela laisse les consommateurs exposés à des risques potentiels.
Cette révélation s'inscrit dans une tendance plus large de préoccupations croissantes concernant la sécurité et la protection de la vie privée liées aux dispositifs IoT bon marché. Des incidents antérieurs, tels que ceux liés aux sonnettes Ring et aux caméras Eufy, ont déjà suscité des inquiétudes, soulignant la nécessité d'une réglementation plus stricte et d'une surveillance continue de la sécurité des dispositifs IoT afin de protéger les consommateurs. En conclusion, cette enquête souligne l'importance pour les utilisateurs d'être vigilants lors de l'achat de produits IoT bon marché et met en évidence la nécessité pour l'industrie et les autorités réglementaires d'agir de manière proactive pour garantir la sécurité des consommateurs.
Quelques conseils à l'intention des utilisateurs
Si vous possédez l'une de ces sonnettes, Consumer Reports conseille de la déconnecter de votre réseau WiFi domestique et de la retirer de votre porte. L'évaluation de Consumer Reports a mis en avant des sonnettes vidéo plus sécurisées de marques telles que Logitech, SimpliSafe et Ring, propriété d'Amazon. De manière plus générale, ne présumez pas que les grandes plateformes de vente en ligne ont évalué la sécurité de tous les produits qu'elles proposent. Au fil des ans, des agences fédérales et des journalistes ont signalé divers produits dangereux ou illégaux en vente sur Amazon.
En cas d'achat de produits défectueux auprès d'un magasin local, celui-ci pourrait être tenu responsable des dommages ou des amendes. Cependant, Amazon a précédemment affirmé ne pas être responsable des articles vendus par des tiers sur sa plateforme, considérant ces vendeurs comme une simple société logistique. La Commission de la sécurité des produits de consommation conteste cette position et envisage de classer officiellement la place de marché comme un « distributeur de biens » ayant des responsabilités similaires à celles des détaillants traditionnels. Si cette ordonnance est adoptée, elle pourrait influencer d'autres places de marché en ligne.
En attendant, Consumer Reports appelle les détaillants en ligne à prendre des mesures pour garantir la qualité des produits sur leurs plateformes. Consumer Reports plaide également en faveur d'une législation rendant les plateformes en ligne strictement responsables de la vente de produits défectueux et encourage l'établissement de lois qui exigent clairement des détaillants qu'ils prennent des mesures raisonnables pour éviter la vente de produits nocifs, frauduleux ou non sécurisés sur leurs plateformes.
Consumer Reports a également partagé ses conclusions sur les sonnettes vidéo avec la Commission fédérale du commerce, qui a le pouvoir de retirer de tels produits du marché. L'agence n'a pas commenté les mesures envisagées, soulignant que ses enquêtes sont confidentielles. Justin Brookman de Consumer Reports souligne la nécessité pour les régulateurs d'intervenir davantage contre la prolifération de produits indésirables sur le marché, en ciblant tant les fabricants que les plateformes de vente qui les recommandent explicitement.
Sources : Consumer Reports (1, 2), FCC
Et vous ?
Voir aussi :
Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités
Répondre avec citation
Partager