Cette sonnette intelligente envoyait accidentellement des données en Chine, jusqu'à ce que les gens commencent à paniquer

2022-05-21 09:30:30 By : Mr. June Realdino

Plus tôt ce mois-ci, certains propriétaires d'une sonnette intelligente - une caméra de sécurité et un interphone pour la porte d'entrée - ont découvert que leur gadget envoyait de minuscules paquets de données vers un endroit où il ne devrait pas : la Chine.La sonnette, fabriquée par la startup Ring basée à Los Angeles, est censée envoyer des données vidéo et audio de l'utilisateur aux serveurs d'Amazon Web Services.Mais, même à l'insu de l'entreprise, de minuscules paquets de données audio étaient également acheminés vers un serveur en Chine géré par le géant chinois de l'Internet Baidu à des intervalles apparemment aléatoires.Un utilisateur de Reddit a découvert le trafic étrange provenant de son appareil et a publié un message à ce sujet.Les utilisateurs étaient inquiets.Une semaine plus tard, un article sur le site Web IoT For All a attisé la flamme avec un article intitulé "Huge Vulnerability Discovered in the Ring Doorbell".Ring a essayé de se déplacer rapidement.Dans les cinq jours suivant la publication de Reddit, le directeur de la technologie de la société, Joshua Roth, a répondu au fil de discussion original, expliquant que les données envoyées en Chine ne représentaient que 20 millisecondes de données audio et qu'elles ne représentaient aucune vulnérabilité de sécurité.Il a promis une mise à jour du micrologiciel de tous les appareils Ring Video Doorbell Pro - le seul appareil Ring affecté par le bogue - pour arrêter la connexion au serveur chinois.La semaine dernière, Ring a engagé la société de conseil Tevora pour auditer l'appareil et s'assurer que tout allait bien.Dans le rapport consulté par Forbes, le cabinet de conseil a confirmé que l'appareil était sécurisé et ne communiquait plus avec les serveurs chinois.La faille existait dans la version 1.4.26 du firmware, mais n'était plus présente dans la version mise à jour 1.4.29.Tevora a déclaré avoir classé le problème non pas comme une vulnérabilité mais simplement comme un bogue inoffensif."Il n'y a aucune preuve suggérant qu'il existe un risque pour le consommateur", conclut le rapport.Les chercheurs en sécurité conviennent que le bogue ne posait aucun risque significatif pour les utilisateurs de Ring.L'appareil envoyait des données via un protocole Internet qui lançait des données dans un sens ;il n'y avait aucun moyen pour un agent caché de se faufiler dans l'appareil par l'autre bout et d'y charger un code malveillant, malgré ce que les utilisateurs concernés soupçonnaient.Néanmoins, l'épisode met en lumière un sentiment accru de paranoïa autour de ces appareils.Le monde émergent de l'Internet des objets - où tout, des appareils électroménagers aux lampadaires en passant par les voitures sera mis en réseau et l'informatique - a apporté avec lui des inquiétudes qu'ils nous espionnent tous secrètement.Et il y a de vraies raisons de s'inquiéter pour ces appareils.La sécurité est souvent laxiste ou inexistante.En octobre, le soi-disant botnet Mirai a provoqué une panne massive d'Internet à cause de caméras et de DVR connectés à Internet piratés.Des entreprises américaines comme Ring peuvent trouver les consommateurs méfiants à l'idée que des étrangers malveillants entrent. Il y a une stigmatisation associée à l'envoi de données à l'extérieur du pays vers des endroits comme la Chine, même si cela ne représente probablement aucune menace réelle, ont déclaré des chercheurs en sécurité."Le problème est défini par ce que le consommateur aime", a déclaré Zach Wikholm, développeur de recherche à la société de renseignement de sécurité Flashpoint."Dans ce cas, les consommateurs ne se sentaient pas en sécurité et Ring l'a corrigé."Il semble maintenant qu'il ne suffit plus de s'assurer que le gadget est sécurisé.Les fabricants d'appareils doivent faire un meilleur travail en s'assurant que leurs appareils sont verrouillés.Fondé en 2012, Ring est le plus grand acteur du secteur des sonnettes intelligentes.Il a levé un total de 209 millions de dollars en financement de capital-risque, le dernier tour de table de série D de 109 millions de dollars portant sa valorisation à 445 millions de dollars, selon PitchBook.Les ventes annuelles de l'entreprise ont plus que doublé en 2016 par rapport à l'année précédente.Ce dont Ring est coupable, c'est de ne pas verrouiller l'appareil et de ne pas savoir ce qui s'y passait - un problème trop courant avec ces types de nouveaux appareils Internet des objets.Les startups se précipitent souvent dans le développement de produits et peuvent ne pas prendre le temps de comprendre le fonctionnement interne de chaque composant qu'elles intègrent à ces appareils.(L'année dernière, il a également été découvert que les sonnettes Ring stockaient les mots de passe WiFi en texte brut sur l'appareil, permettant aux pirates d'accéder potentiellement au réseau WiFi d'un utilisateur Ring. Ring a depuis corrigé cette vulnérabilité.)Wikholm a estimé que ce type de communication involontaire, comme avec les serveurs chinois, se produit dans environ un appareil intelligent sur dix.Il montre un certain degré de négligence.Les composants et micrologiciels disponibles dans le commerce achetés auprès d'entreprises chinoises en sont la cause, le plus souvent."Il est assez courant que les composants IoT prêts à l'emploi" appellent périodiquement le fabricant en amont pour vérifier la connectivité et les mises à jour ", a déclaré Tod Beardsley, directeur de recherche chez Rapid7, dans un e-mail."Je suppose que c'est ce qui se passe avec l'appareil Ring. Ainsi, bien qu'il s'agisse d'un trafic fondamentalement inoffensif, cela indique que le micrologiciel des produits Ring est livré en grande partie tel quel, sans un examen de sécurité approfondi par le fournisseur en aval."Ring nie l'accusation selon laquelle il utilise des systèmes standard en provenance de Chine, ce qui indique généralement un appareil de qualité inférieure."Nous prenons des mesures importantes pour créer des produits de qualité qui sont sécurisés", a déclaré Ring CTO Roth dans sa déclaration publiée pour la première fois sur Reddit.Ring n'a pas répondu à d'autres questions sur la raison pour laquelle le trafic vers la Chine se produisait en premier lieu, au-delà du fait qu'il ne s'agissait que d'un bug.Wikholm soupçonne qu'il pourrait s'agir d'un code de test restant d'un fournisseur de puces chinois."Il y a une stigmatisation de tout ce qui va en Chine est mauvais", a déclaré Wikholm."Mais beaucoup de ces choses sont fabriquées et entretenues en Chine."