Les sonnettes de porte connectées que l'on trouve couramment sur les marchés tels qu'Amazon et eBay présentent de graves vulnérabilités qui exposent leurs propriétaires à une foule de menaces pour la sécurité et la vie privée, selon une enquête menée par le chien de garde britannique des consommateurs Which?.
En collaboration avec le NCC Group, Which? a examiné 11 sonnettes de porte connectées, équipées de systèmes vidéo et audio connectés à Internet, et a trouvé des vulnérabilités déconcertantes dans chacune d'entre elles. Un certain nombre de ces gadgets sont conçus pour avoir l'apparence et la sensation de l'anneau d'Amazon et du nid d'abeille de Google et sont vendus sous leurs propres marques ou n'ont pas de marque visible. Certains gadgets ont été promus avec le logo « Amazon's Choice », en plus de recevoir des commentaires élogieux de la part des utilisateurs.
C'est le cas notamment de la sonnette Victure VD300, classée comme « le best-seller des "visionneuses de porte" ». On a découvert que l'appareil envoyait un mot de passe de réseau Wi-Fi à des serveurs en Chine en clair. En cas de vol, les données de connexion pourraient non seulement donner aux escrocs l'accès au réseau Wi-Fi de la victime, mais aussi à d'autres appareils qui y sont connectés et exposer les données sensibles des personnes au cours du processus.
Le non-chiffrement des données était un élément malheureusement très commun dans ces tests. C’est également le cas des séquences vidéo, qui étaient souvent stockées en clair.
LECTURE COMPLÉMENTAIRE : La sécurité de l’IdO au CES – savez‑vous à qui votre maison parle?
D'autres défauts étaient liés à une mauvaise protection par mot de passe, puisque les appareils étaient livrés avec des mots de passe par défaut simples et faciles à deviner ou que leurs mots de passe étaient faciles à réinitialiser par des invités indésirables. Certains appareils étaient susceptibles d'être facilement éteints ou volés, ce qui permettait aux cambrioleurs de mener leurs sombres besognes incognito. Un gadget était susceptible d'être exploité de manière critique en tirant parti de la vulnérabilité KRACK (Key Reinstallation AttaCK) dans l'authentification Wi-Fi, ce qui pouvait en fin de compte laisser les réseaux Wi-Fi largement ouverts à la compromission.
Il n'est pas surprenant que la plupart des sonnettes de porte connectées analysées dans cette étude aient recueilli plus de données sur les clients qu'elles n'en avaient réellement besoin pour leurs opérations. Dans l'ensemble, les résultats du test ne sont en aucun cas uniques, car des enquêtes similaires ont déjà été menées par le passé et sont également parvenues à des conclusions peu flatteuses.
LECTURE COMPLÉMENTAIRE : IdO : Vie privée et la conception d’une maison intelligente
Depuis, Amazon au moins sept produits de son site. eBay, quant à elle, indique ceci : « Ces listes ne violent pas nos normes de sécurité mais représentent des problèmes techniques de produits qui doivent être réglés avec le vendeur ou le fabricant. »
Si vous êtes sur le marché d'un gadget connecté, vous voulez faire vos devoirs et choisir un fabricant réputé qui a fait ses preuves en matière de sécurisation de ses appareils. Ensuite, lorsque vous installez votre nouveau dispositif intelligent, assurez-vous au moins de le protéger par un mot de passe ou une phrase de passe unique et fort ainsi que par l’authentification multifactorielle.