Un utilisateur des caméras de sécurité Ring porte plainte en recours collectif contre Amazon

Après qu'un hacker y a accédé pour voir et parler à ses enfants mineurs

Un utilisateur des caméras de sécurité Ring porte plainte en recours collectif contre Amazon,
après qu'un hacker y a accédé pour voir et parler à ses enfants mineurs

Ring est une startup d'origine ukrainienne spécialisée dans la sécurité à domicile qui vend des sonnettes permettant de capturer de la vidéo et de l'audio. Les clips peuvent être diffusés sur les smartphones et autres appareils, tandis que la sonnette permet même aux propriétaires de bavarder à distance avec ceux qui se tiennent à leur porte. Amazon a racheté la société l'année dernière pour un montant de 1 milliard de dollars.

Des hackers s’amusaient depuis plusieurs semaines à terroriser quelques habitants, en prenant le contrôle de leur sonnette connectée. Il y a quelques jours, nous avons su pourquoi. Les sonnettes connectées d’Amazon ont été piratées et un chercheur en sécurité de Bitdefender a découvert que 1 562 adresses e-mail et les mots de passe correspondants étaient à vendre sur le dark web depuis ce mardi 17 décembre 2019. En les utilisant, il est possible de se connecter et d’accéder aux caméras. Plus inquiétant encore : les accès permettent aux pirates d’accéder à l’ensemble des appareils connectés reliés aux sonnettes Ring. En se connectant au compte, il est aussi possible de consulter des données personnelles telles que le numéro de téléphone, l’adresse ou les informations de paiement du propriétaire.

Le chercheur à l’origine de cette découverte a présenté le problème à Amazon, qui lui a demandé de ne surtout pas l’exposer à la presse. À l’heure actuelle, les identifiants sont toujours disponibles sur le dark web et le problème n’a toujours pas été résolu par les équipes de sécurité de Ring. Impossible de savoir comment les données ont pu être exposées. Il est possible que les hackers les aient tout simplement devinées, ou qu’ils aient testé des identifiants récupérés lors de précédentes fuites de données en provenance d’autres services.

En effet, le 19 décembre dernier, la presse américaine a rapporté que les informations de connexion de milliers de propriétaires de caméras Ring ont été publiées en ligne de façon frauduleuse. Les informations en questions comprennent 3 672 adresses e-mail, des mots de passe, des fuseaux horaires, et même les noms donnés aux caméras Ring par leur propriétaire comme « cuisine » ou « porte d’entrée ».


Un utilisateur porte plainte

Amazon.com Inc et son unité de caméras de sécurité résidentielles Ring ont été poursuivis en justice par un propriétaire de l'Alabama qui a déclaré que la conception défectueuse des caméras rend les acheteurs vulnérables aux cyberattaques.

Dans un recours collectif proposé jeudi, John Baker Orange a déclaré qu'un hacker avait récemment accédé à sa caméra Ring alors que ses enfants, âgés de 7, 9 et 10 ans, jouaient au basket-ball dans l'allée, et grâce à son système de haut-parleurs les a encouragés à se rapprocher de l'appareil photo.

Orange, qui a déboursé 249 $ pour faire l'acquisition de son appareil photo en juillet, a déclaré que les caméras ne fonctionnent que lorsqu'elles sont connectées à Internet et qu'elles sont « fatalement défectueuses » car elles ne protègent pas contre les cyberattaques, malgré les assurances de Ring qui donnait comme arguments la « tranquillité d'esprit » et la « sécurité intelligente ici, là, partout ».

La plainte déposée devant le tribunal fédéral de Los Angeles demande des dommages non spécifiés à Ring et à Amazon basée à Seattle, ainsi qu'une meilleure sécurité pour les caméras Ring nouvelles et existantes.

La plainte a fait suite à plusieurs incidents signalés de hackers qui ont accédé à des maisons via des caméras Ring, incidents parmi lesquels un homme a proféré des insultes raciales à plusieurs reprises à une fillette du Mississippi de 8 ans, affirmant qu'il était le Père Noël.

« Une entreprise qui vend un appareil censé protéger les occupants d'une maison ne devrait pas devenir une plateforme susceptible de mettre ces occupants en danger », a déclaré John Yanchunis, avocat d'Orange, dans une interview.

Orange, qui vit dans le comté de Jefferson, en Alabama, a déclaré qu'il avait changé son mot de passe « moyen » et commencé à utiliser l'authentification à deux facteurs pour sa caméra après avoir appris l'incident impliquant ses enfants.

« De nombreux appareils sont connectés à Internet, et les consommateurs ne savent tout simplement pas comment ils peuvent être exploités si facilement », a déclaré Yanchunis.

Source : Reuters

Et vous ?

Qu'en pensez-vous ? La responsabilité de la sécurité incombe-t-elle à l'utilisateur ou au fabricant ? Dans quelle mesure ?

Voir aussi :

De nombreux systèmes militaires américains critiques pour la sécurité utilisent désormais Linux, un système d'exploitation qui répond au mieux aux exigences du gouvernement ?
Plus de 267 millions de noms et de numéros de téléphone provenant de Facebook ont été divulgués en ligne, selon des chercheurs en sécurité
La Quadrature du Net et 80 organisations demandent l'interdiction de la reconnaissance faciale de la sécurité dans une lettre ouverte aux gouvernement et Parlement français
Sécurité : les auteurs de rançongiciels exposent désormais les institutions qui refusent de payer en publiant leurs noms ainsi que leurs données sur des sites web traditionnels