Des pirates prennent le contrôle d'une caméra intérieure d'Amazon et espionnent des fillettes pendant des jours

Annoncé en fanfare par Amazon, le rachat de la startup Ring cause quelques soucis à la firme depuis plusieurs jours. Et notamment ses caméras intérieure de surveillance. Celles-ci se vantent d'être faciles à installer, peu chères, de posséder un micro pour communiquer et un mode de vision nocturne avec enregistrement activé par détection de mouvements. Et ce sont des pirates qui en ont été ravis !

WMC5, chaîne locale du Tennessee (Etats-Unis), a ainsi révélé que des hackers étaient parvenus à prendre le contrôle d’une caméra de surveillance Ring placée dans la chambre de trois petites filles. Durant plusieurs jours, ils ont ainsi espionné les enfants et ont même pu communiquer avec l’une d’elles, se faisant alors passer pour le père Noël.

Le réseau familial était pourtant sécurisé par un identifiant et un mot de passe. Ring a laissé entendre que les pirates auraient pu se procurer ces informations sur le dark web ou un forum de hackers. Selon la startup, les paramètres de sécurité de la famille, jugés trop faibles, pourraient en être la cause. "Malheureusement, lorsque le même nom d'utilisateur et le même mot de passe sont réutilisés sur plusieurs services, il est possible que de mauvais acteurs aient accès à de nombreux comptes", souligne un porte-parole de Ring.

Selon un article publié sur le blog de la marque, les identifiants auraient pu être dérobés lors d’un précédent vol de données, mais en aucun cas, "les services de Ring n'ont été compromis". "Notre équipe de sécurité a enquêté sur cet incident et nous n’avons aucune preuve d’une intrusion non autorisée ou d’une faille dans les systèmes ou dans notre réseau", a expliqué Ring qui a ajouté avoir eu connaissance d'un incident "au cours duquel des individus malveillants ont obtenu des informations d’identification de certains utilisateurs de Ring (par exemple nom d’utilisateur et mot de passe), depuis un service externe à Ring".

Pour Gavin Millard, vice-président du département Intelligence au sein de la société de cybersécurité Tenable, les auteurs ont tout simplement testé "si ces clés volées fonctionnaient" pour la caméra. "Il s’agit d’un procédé de ‘bourrage d’identifiants’ʺ, souligne ce dernier.

Les appareils de la firme permettent pourtant l’authentification à double facteur pour renforcer leur sécurité. Mais la famille ne l’avait visiblement pas activée. "Ce n’est pas activé par défaut", regrette Gavin Millard. Selon lui, le souci vient de la volonté des fabricants de mettre "la priorité sur la convivialité par rapport à la sécurité afin d’offrir une expérience clé en main à l’utilisateur final". Une mauvaise idée pour attirer les clients avec la promesse de facilité, souligne-t-il. 

Et d’ajouter : "Je recommande d’inverser cette tendance afin que les politiques de sécurité, telles que l'authentification à deux facteurs, soient activées par défaut. C'est un processus simple qui prend 30 secondes et la tranquillité d'esprit en vaut la peine."

- Activez l'authentification à deux facteurs : quand elle est disponible pour vos appareils, via l'application compagnon ou le site internet de la marque, pensez à la paramétrer. Cela renforce la sécurité de votre appareil. Vous recevez un SMS ou une notification dès que quelqu'un d'autre que vous essaye de se connecter.

- Ne donnez pas vos identifiants, ajoutez des utilisateurs à votre compte : il vaut mieux avoir plusieurs utilisateurs identifiés dans la base et votre compte plutôt que de partager vos identifiants et mots de passe qui pourraient alors se retrouver en balade sur le net.

- Utilisez un mot de passe unique : de manière générale sur internet, un mot de passe pour chaque compte est la règle de sécurité n°1 ! Cela évite que des hackers testent tous les mots de passe en leur possession pour voir si vous avez doublonné.

- Créez un mot de passe fort et compliqué : on évite les célèbres 0123456 ou AZERTY. Le must : un savant mélange de minuscules, majuscules, chiffres et symboles. Ou bien utilisez tout simplement un générateur de mot de passe unique.

- Pensez à changer fréquemment votre mot de passe : premier geste à faire quand vous installez votre appareil, changez le mot de passe par défaut qui est fourni. N'hésitez ensuite pas à le changer tous les trois à six mois.

Tous nos podcasts sont à écouter ici.