Les gadgets connectés d’Amazon sont de plus en plus populaires grâce à des ventes record, mais cette popularité s’accompagne des inquiétudes des utilisateurs, au cours de ces dernières années. En effet, les rapports ont révélé que les équipes travaillant sur les commandes des utilisateurs de l’assistant vocal Alexa et de la sonnette de porte Ring espionnaient les propriétaires de ces gadgets. La société a confirmé certains faits (certains enregistrements vocaux des clients d'Alexa sont conservés pour toujours) et nié d’autres. Dans une lettre que Ring a adressée lundi aux sénateurs, la société qui appartient à Amazon dit avoir licencié des employés pour avoir accédé de manière inappropriée aux données vidéo des utilisateurs de Ring.
Ring est une startup d'origine ukrainienne spécialisée dans la sécurité à domicile qui vend des sonnettes permettant de capturer de la vidéo et de l'audio. Les clips peuvent être diffusés sur les smartphones et autres appareils, tandis que la sonnette permet même aux propriétaires de bavarder à distance avec ceux qui se tiennent à leur porte. Ring a été racheté par Amazon en 2018. Dans une lettre envoyée lundi par la société à cinq sénateurs, en réponse à leurs questions sur les pratiques de sécurité de l'entreprise, Ring a admis qu'au cours des quatre dernières années, elle a licencié quatre employés pour avoir abusé de l'accès aux données vidéo des utilisateurs.
On peut lire dans la lettre de Ring, dont Motherboard a vu une copie, ce qui suit :
« Nous sommes au courant des incidents mentionnés ci-dessous où des employés ont violé nos politiques », a reconnu la société. Il a ajouté ensuite qu’ « Au cours des quatre dernières années, Ring a reçu quatre plaintes ou demandes de renseignements concernant l'accès d'un membre de l'équipe aux données vidéo de Ring. Bien que chacune des personnes impliquées dans ces incidents ait été autorisée à consulter les données vidéo, la tentative d'accès à ces données a dépassé ce qui était nécessaire pour leurs fonctions. Dans chaque cas, une fois que Ring a été mis au courant de la conduite présumée, il a rapidement enquêté sur l'incident et, après avoir déterminé que la personne avait enfreint la politique de l'entreprise, il l'a congédiée ».
Selon Motherboard, cette nouvelle met en évidence un risque de confidentialité et de sécurité qui ne se limitent pas seulement à Ring. En effet, les employés dans de nombreuses entreprises technologiques différentes peuvent abuser de l'accès accordé dans le cadre de leur travail pour consulter les données ou les informations des clients. Et selon Motherboard, dans le cas de Ring, ces données peuvent cependant être particulièrement sensibles, du fait que les clients placent souvent les caméras à l'intérieur de leur maison.
Ring a nié en janvier 2019 que ses ingénieurs et autres cadres auraient eu accès à des flux non filtrés et en continu des séquences de certains utilisateurs, selon un rapport de The Intercept. En effet, The Intercept avait signalé que Ring a accordé à un certain nombre de travailleurs en Ukraine l'accès aux vidéos des utilisateurs de Ring à des fins de recherche. Les incidents auxquels Ring fait référence dans sa lettre pourraient être liés au rapport de The Intercept. Ring a de nouveau nié que son équipe de recherche et développement basée en Ukraine ait ce niveau d'accès, mais la société a révélé que trois employés sont en mesure d'accéder aux vidéos stockées des clients pour aider à maintenir l'infrastructure AWS de Ring :
« nos équipes de R&D ne peuvent accéder aux vidéos accessibles au public et aux vidéos disponibles des employés de Ring, des entrepreneurs et des amis et de la famille des employés ou des entrepreneurs qu'avec leur consentement explicite. En outre, les clients peuvent donner leur consentement explicite à notre service clientèle pour qu'il leur fournisse un accès temporaire à leur flux de caméra en direct lors du dépannage d'un problème client spécifique. En outre, un nombre très limité d'employés (actuellement trois) ont la possibilité d'accéder aux vidéos stockées des clients dans le but de maintenir l'infrastructure AWS de Ring ».
A la question des sénateurs de savoirs si les employés de Ring avaient accès à d’autres types d’information, la société a répondu : « Les employés ont accès à l'interface de service client principale utilisée pour les informations de compte client, la configuration des appareils et les paramètres des appareils. Il existe plusieurs couches de contrôle de sécurité pour accéder à l'information, qui comprend les renseignements sur les clients nécessaires pour effectuer les opérations de service à la clientèle standard. Les employés n'ont accès à ces renseignements que dans le seul but de maintenir et d'améliorer l'expérience client ».
Ring a exigé l’authentification à doubles facteurs pour les nouveaux comptes, mais pas pour les comptes existants
Dans la lettre, Ring a déclaré qu'il encourage l'utilisation de l'authentification à deux facteurs qu'il exige maintenant de façon proactive pour les nouveaux comptes, en réponse à une vague d'incidents concernant ces sonnettes à laquelle la société a fait face ces derniers mois. Les sonnettes connectées d’Amazon ont été piratées et un chercheur en sécurité de Bitdefender a découvert que 1 562 adresses e-mail et les mots de passe correspondants étaient à vendre sur le dark web depuis en décembre. En les utilisant, il est possible de se connecter et d’accéder aux caméras. Plus inquiétant encore, les accès permettent aux pirates d’accéder à l’ensemble des appareils connectés reliés aux sonnettes Ring. Par ailleurs, un utilisateur des caméras de sécurité a porté plainte en recours collectif contre Amazon, après qu'un hacker y a accédé pour voir et parler à ses enfants mineurs.
Ring a également introduit des messages d'avertissement lorsque quelqu'un se connecte depuis un nouvel emplacement, après que Motherboard a découvert, en décembre, de multiples problèmes de sécurité avec la plateforme Ring, comme le fait que Ring permettait des connexions à partir d'adresses IP inconnues. Dans un communiqué, le sénateur Ron Wydena déclaré :
« Exiger une authentification à deux facteurs pour les nouveaux comptes est un pas dans la bonne direction, mais il y a des millions de consommateurs qui ont déjà une caméra Ring chez eux et qui restent inutilement vulnérables aux pirates. Amazon doit aller plus loin en protégeant tous les appareils Ring avec une authentification à deux facteurs. Il est également inquiétant d'apprendre que le chiffrement des vidéos des utilisateurs par Ring est à la traîne par rapport à d'autres sociétés, qui veillent à ce que seuls les utilisateurs disposent des clés de chiffrement pour accéder à leurs données ».
Dans un communiqué, Ring a indiqué qu’il n'a pas activé l'authentification à deux facteurs pour tous les utilisateurs existants parce que cela pourrait empêcher les clients actuels d'accéder à leurs caméras, sur lesquelles ils peuvent compter pour leur sécurité. Le fondateur de Ring, Jamie Siminoff, a également dit que pour forcer les clients existants à adopter l'authentification à deux facteurs, il faudrait que Ring déconnecte tous les utilisateurs de leurs systèmes. Et dans ce cas, les utilisateurs qui ne peuvent pas se rappeler ou récupérer leurs informations de connexion Ring pourraient avoir des problèmes de sécurité.
Certaines pratiques d’Amazon et sa filiale Ring en matière de sécurité et confidentialité des données sont décriées depuis longtemps. En juin dernier, les défenseurs de la vie privée s’inquiétaient du fait que les sonnettes Ring d'Amazon créent un réseau massif de surveillance policière. Selon le rapport, la police obtiendrait des vidéos enregistrées par les appareils Ring installés sur les portes des résidents. Ce qui donnerait à la police des capacités de surveillance sans précédent et pourrait poser de graves problèmes en matière de protection de la vie privée, selon un rapport.
Suite à plusieurs rapports faisant état que les employés d’Amazon espionnent les utilisateurs, Amazon a expliqué dans une lettre adressée au sénateur Chris Coons du Delaware, en juillet dernier, que son enceinte connectée Amazon Alexa conserve indéfiniment certains enregistrements vocaux et d’autres données de ses utilisateurs. La société a aussi confirmé que ces différentes données peuvent également être partagées avec des entreprises pour d'autres utilisations.
Sources : Lettre D'Amazon
Et vous ?
Qu’en pensez-vous ?
La lettre de Ring vous rassure-t-elle pour que vous continuiez à utiliser les sonnettes Ring en toute sérénité ?
Ring pourrait-il être efficace sans avoir accès à vos vidéos ? Pourquoi ?
Lire aussi
Un utilisateur des caméras de sécurité Ring porte plainte en recours collectif contre Amazon, après qu'un hacker y a accédé pour voir et parler à ses enfants mineurs
Les utilisateurs des caméras de sécurité Ring d'Amazon seraient espionnés à leur insu, mais un porte-parole de la société nie les faits
Une fuite de données a révélé les renseignements personnels de plus de 3 000 utilisateurs de Ring, mais la société a nié que ses systèmes avaient été compromis
Amazon confirme que les enregistrements vocaux des clients d'Alexa sont conservés pour toujours, tant qu'ils ne les suppriment pas manuellement
Ring d'Amazon a congédié des employés pour avoir regardé des vidéos de clients,
La société l'a dit dans une lettre aux sénateurs
Ring d'Amazon a congédié des employés pour avoir regardé des vidéos de clients,
La société l'a dit dans une lettre aux sénateurs
Le , par Stan Adkens
Une erreur dans cette actualité ? Signalez-nous-la !