En fin d'année dernière, les sonnettes connectées d’Amazon ont été piratées et un chercheur en sécurité de Bitdefender a découvert que 1 562 adresses e-mail et les mots de passe correspondants étaient à vendre sur le dark web depuis ce mardi 17 décembre 2019. En les utilisant, il est possible de se connecter et d’accéder aux caméras. Plus inquiétant encore : les accès permettent aux pirates d’accéder à l’ensemble des appareils connectés reliés aux sonnettes Ring. En se connectant au compte, il est aussi possible de consulter des données personnelles telles que le numéro de téléphone, l’adresse ou les informations de paiement du propriétaire.
Après cet incident, un utilisateur a porté plainte, avançant que la conception défectueuse des caméras rend les acheteurs vulnérables aux cyberattaques. Dans un recours collectif proposé jeudi, John Baker Orange a déclaré qu'un hacker avait récemment accédé à sa caméra Ring alors que ses enfants, âgés de 7, 9 et 10 ans, jouaient au basket-ball dans l'allée, et grâce à son système de haut-parleurs les a encouragés à se rapprocher de l'appareil photo.
C'est également cet incident qui a mis en lumière les pratiques de certains employés de Ring qui regardaient les vidéos de surveillance des clients. L'entreprise a assuré aux sénateurs que, lorsqu'elle a découvert cet abus, elle a licencié les coupables : « Nous sommes au courant des incidents mentionnés ci-dessous où des employés ont violé nos politiques », ajoutant « qu'au cours des quatre dernières années, Ring a reçu quatre plaintes ou demandes de renseignements concernant l'accès d'un membre de l'équipe aux données vidéo de Ring. Bien que chacune des personnes impliquées dans ces incidents ait été autorisée à consulter les données vidéo, la tentative d'accès à ces données a dépassé ce qui était nécessaire pour leurs fonctions. Dans chaque cas, une fois que Ring a été mis au courant de la conduite présumée, il a rapidement enquêté sur l'incident et, après avoir déterminé que la personne avait enfreint la politique de l'entreprise, il l'a congédiée ».
Un ingénieur Amazon pense que « Ring devrait être fermé »
Le groupe de défense Amazon Employees For Climate Justice a publié des commentaires d'une centaine d'employés (363) Amazon comme un moyen de protester contre la politique de communication externe de l'entreprise. Bien que l'initiative Amazon Employees For Climate Justice soit lancée pour parler des effets de la politique d'Amazon sur la crise climatique, les défenseurs ont indiqué : « il ne s'agit pas seulement du climat : il en va également de notre capacité à parler d'autres questions comme le racisme et le sexisme dans le secteur technologique, le traitement des employés en entrepôt, les dons aux politiciens anti-LGBTQ et la complicité avec l'ICE ».
C'est dans ce contexte que s'est exprimé l'ingénieur Max Eliaser au sujet de Ring, notant que « le déploiement de caméras de sécurité connectées à domicile qui permettent d'interroger des images de manière centralisée n'est tout simplement pas compatible avec une société libre. Les problèmes de confidentialité ne peuvent pas être résolus avec la réglementation et il n'y a pas d'équilibre qui puisse être trouvé. Ring devrait être fermé immédiatement et non ramené ».
La réponse d'Amazon ?
Quelques jours après cette déclaration, Amazon a publié un nouveau centre de contrôle pour Ring. Il a institué quelques paramètres plus soucieux de la confidentialité.
« Chez Ring, notre mission est de rendre les quartiers plus sûrs. Au cœur de cette mission se trouvent nos clients - des voisins dévoués partout qui travaillent ensemble pour rendre leurs communautés plus sûres. Nous pensons que la confidentialité, la sécurité et le contrôle des utilisateurs sont plus que de simples idées; ce sont les outils que nos clients utilisent pour protéger leurs maisons, leurs proches et leurs quartiers.
« C'est pourquoi nous lançons aujourd'hui le nouveau Control Center, une fonctionnalité de l'application Ring qui permet aux clients de gérer les paramètres de confidentialité et de sécurité importants à partir d'un tableau de bord simple et facile à utiliser. Cette fonctionnalité sera déployée pour tous les utilisateurs dans les prochains jours et nécessitera la mise à jour de l'application Ring vers la dernière version sur iOS et Android. Elle peut être trouvée en cliquant sur l'icône du menu déroulant dans le coin supérieur gauche de l'application. Avec Control Center, les clients peuvent :
- vérifier s'ils ont activé l'authentification à deux facteurs pour leur compte Ring ;
- afficher et supprimer tous les appareils et services tiers autorisés à se connecter à leur compte Ring ;
- ajouter et supprimer des utilisateurs partagés sur leur compte ;
- désactiver la réception de notifications de demande de vidéo lorsque la police locale recherche des informations liées à une enquête.
« La sécurité et la confidentialité ont toujours été notre priorité absolue. Le nouveau Control Center est l'une des nombreuses fonctionnalités que nous cherchons à introduire cette année et qui permet aux clients de mieux contrôler la sécurité et la confidentialité de leur appareil ».
L'équipe affirme que le centre de contrôle répertorie l'état d'authentification à deux facteurs de votre compte en haut du nouveau tableau de bord. Si vous n'aviez pas autorisé l'authentification à deux facteurs auparavant, il suffit désormais de quelques clics dans l'application pour accéder facilement à cette fonctionnalité et l'activer pour plus de sécurité. Lorsque l'authentification à deux facteurs est activée, vous devrez fournir le code de vérification unique qui est envoyé par SMS à votre numéro de téléphone lorsque vous ou quelqu'un d'autre tentez de vous connecter à votre compte Ring. Cela réduit la possibilité que quelqu'un accède à votre compte Ring sans votre autorisation.
Si vous souhaitez autoriser des membres de votre famille ou des amis proches à accéder à vos appareils Ring, vous pouvez toujours les ajouter (et les supprimer) en tant qu'utilisateur partagé sur votre compte depuis le centre de contrôle de l'application Ring. Pas besoin de partager vos identifiants de connexion avec qui que ce soit.
Le centre de contrôle est également utile pour ceux qui utilisent plusieurs appareils pour accéder et contrôler leur compte Ring - comme une tablette à la maison, un téléphone portable ou un ordinateur au travail. La nouvelle fonctionnalité vous permet de voir tous les appareils autorisés à se connecter à votre compte Ring et de les déconnecter facilement à tout moment. À partir du centre contrôle, vous pouvez également afficher et déconnecter toute application ou tout service individuel lié à votre compte Ring, comme Alexa, lorsque vous en avez besoin.
Refuser de recevoir des notifications de demande de vidéo lorsque la police locale recherche des infos
L'une de ses nouvelles fonctionnalités implique la possibilité de « refuser de recevoir des notifications de demande de vidéo lorsque la police locale recherche des informations liées à une enquête ». Pour certains, cela peut être un début, ou même une réaction rapide aux commentaires d'Eliaser. Beaucoup voudront peut-être croire que les mots forts d'un employé pourraient apporter une réaction positive.
Malheureusement, ce nouveau centre de contrôle ne donne aux clients que la possibilité de se retirer, plutôt que d'avoir la valeur par défaut inversée. Cependant, il informe au moins les clients des services de police qui ont rejoint l'application Ring Neighbors et sont donc plus susceptibles de faire des demandes.
« L'application Neighbours permet aux utilisateurs de partager et de recevoir des mises à jour locales sur la criminalité et la sécurité, ainsi que de télécharger des vidéos, des photos et des messages texte et d'obtenir des alertes en temps réel de voisins et de sources officielles. Dans les communautés où la police locale utilise l'application Neighbours, les utilisateurs peuvent choisir de partager des informations ou des enregistrements vidéo lorsque la police locale recherche des informations pertinentes pour une enquête dans leur région en utilisant l'outil de demande de vidéo.
« Par exemple, à Westminster, en Californie, l'outil de demande de vidéo a aidé à récupérer des armes volées après que le service de police a reçu des centaines de vidéos de leur demande qui ont permis d'identifier les véhicules impliqués dans le vol d'un coffre-fort. L'outil de demande de vidéo a également été utile à Pembroke Pines, en Floride, où des vidéos partagées par des résidents via l'application Neighbors ont aidé la police à identifier et à arrêter des suspects pour cambriolage et vol.
« Avec l'outil de demande de vidéo, la police ne peut pas voir vos enregistrements vidéo à moins que vous ne choisissiez explicitement de les partager en répondant à une demande vidéo spécifique. Bien que vous ayez toujours eu la possibilité de vous désinscrire de ces demandes après avoir reçu votre première, le centre de contrôle garantit désormais que vous n'avez pas à attendre cette première demande - vous pouvez facilement vous désinscrire dès le départ. Le centre de contrôle vous permet également d'apprendre comment Ring protège vos informations personnelles et vos enregistrements vidéo lorsque la police locale utilise l'outil de demande de vidéo.
« En plus de vous aider à améliorer votre confidentialité et votre sécurité, le nouveau centre de contrôle comprend une Active Law Enforcement Map. Cette carte montre quels services de police ont rejoint l'application Neighbours, y compris ceux de votre région. Nous espérons que cela vous aidera à savoir quand la police travaillera avec votre communauté ».
Ring a insisté sur le fait que « ce n'est que le début. Les futures versions de centre de contrôle offriront aux utilisateurs la possibilité de visualiser et de contrôler encore plus de fonctionnalités de confidentialité et de sécurité ». Mais les clients devront sans aucun doute faire l'effort eux-mêmes.
La société de Jeff Bezos a rarement montré sa volonté de se plier aux préoccupations du public, ce qui peut sembler étrange pour une société qui prétend être entièrement axée sur le client. Cela pourrait peut-être changer un peu. Peut-être que le fait qu'un de ses propres employés a publiquement demandé la fermeture d'un produit clairement intrusif a surpris l'entreprise.
Certains pourraient cependant s'inquiéter du fait qu'en fin de compte Amazon, de concert avec de nombreuses autres sociétés de technologie, pense que les clients sont parfaitement disposés à autoriser l'état de surveillance parce qu'ils sont trop accrochés à la commodité et à toute technologie qui leur permet de faire moins effort. Peut-être cela est vrai jusqu'à ce qu'ils soient enregistrés par la caméra Ring d'un voisin et accusés d'avoir fait quelque chose de mal.
Source : Ring (1, 2)
Et vous ?
Qu'en pensez-vous ? Amazon aurait-il répondu aux préoccupations soulevées par son employé par cette mise à jour ou serait-ce une simple coïncidence ?
Que pensez-vous de la mise à jour en elle-même ?
Seriez-vous disposé à partager les vidéos de votre caméra de surveillance avec la police pour des besoins d'enquête ? Dans quelle mesure ?