Les sonnettes vidéo non sécurisées inondent le marché

De nombreuses sonnettes vidéo connectées présentent de graves vulnérabilités et faiblesses physiques, selon un rapport de NCC Group and Which?.

Les sonnettes vidéo intelligentes occupent un créneau particulier dans le segment de l’Internet des Objets (IoT). Et, bien qu’elles n’aient pas vraiment de fonctionnalités sophistiquées, elles posent généralement de nombreux problèmes. Si vous êtes un citoyen américain, la police peut accéder aux photos prises par votre sonnette et à votre flux vidéo en direct. Des produits similaires du monde entier ont exposé des données enregistrées ou permis à des délinquants d’en prendre le contrôle.

Une fois que vous avez installé une sonnette vidéo, reste ce simple fait : contrôler où et comment les données sont stockées devient un défi que les utilisateurs moyens trouveront difficile à surmonter. Ce qui aggrave encore la situation, c’est que les industries de l’IoT et des sonnettes vidéo sont mal réglementées et que certaines entreprises font ce qu’elles veulent.

Une étude de NCC Group et Which? a porté sur 11 sonnettes intelligentes trouvées sur divers sites marchands. Alors que seuls quelques-unes proviennent de marques bien connues, beaucoup sont disponibles sur Amazon, eBay et Wish. Leur principal avantage est le prix, certainement pas la qualité de conception.

Par exemple, les chercheurs ont découvert que le modèle Victure VD300 envoie le nom et le mot de passe Wi-Fi à des serveurs en Chine de façon non chiffrée. De plus, les clients peuvent trouver des copies identiques mais sans marque sur divers autres sites Web.

Une autre sonnette populaire, la Qihoo 360 D819, a permis à des voleurs de la détacher du mur, de la réinitialiser et de la revendre comme neuve. Les enregistrements eux-mêmes y sont stockés en clair, sans chiffrement.

Comme pour de nombreux autres modèles, certaines des vulnérabilités les plus courantes comprennent la vulnérabilité à KRACK (Key Reinstallation AttaCKs), le manque de chiffrement des données, une collecte excessive de données et une mauvaise politique de cybersécurité.

Le seul moyen de sécuriser correctement le marché est de mettre en œuvre de vraies directives de sécurité IoT, qui sont actuellement toujours en cours de déploiement. Il faudra quelques années pour que le marché s’y conforme pleinement.