Les employés de Ring ont pu espionner les sonnettes et caméras de leurs utilisateurs
Ring, le constructeur de sonnettes vidéo connectées, est très léger sur le respect de la vie privée de ses clients. The Intercept décrit la manière dont plusieurs des employés de l’entreprise ont eu accès aux flux captés par ses produits, simplement en renseignant l’adresse e-mail d’un utilisateur.
C’est une affaire d’autant plus embarrassante que Ring compte à son catalogue non seulement des sonnettes, mais aussi des caméras pour surveiller l’intérieur des foyers. Ces employés ont pu avoir accès à des séquences très intimes ; la pratique était tellement commune que certains d’entre eux plaisantaient pour savoir si tel ou tel était parvenu à ramener chez lui un rendez-vous romantique…C’est également un gros caillou dans la chaussure d’Amazon, le géant du e-commerce s’étant offert Ring il y a un peu moins d’un an.
L’histoire compte deux volets, le premier remontant à 2016 quand Ring se rend compte que son service de surveillance du voisinage, Neighbors, fonctionne mal. L’intelligence artificielle sur laquelle s’appuie cette application n’étant pas spécialement finaude, l’entreprise a décidé de faire appel à son équipe d’« opérateurs données » basée en Ukraine.
Ces opérateurs avaient la tâche ingrate d’identifier et de marquer à la main tout ce qui passait sous les caméras des produits Ring. Cela consiste en gros à dessiner des carrés autour des visages d’étrangers. Il semble que ce processus, visant à « nourrir » l’IA du logiciel de reconnaissance de l’entreprise, soit toujours en cours.
Ring Labs, la filiale ukrainienne de Ring, continue aujourd’hui encore de proposer des postes d’opérateurs données. Ces employés ont accès aux vidéos enregistrées à l’extérieur de la maison, mais aussi à l’intérieur si une caméra Ring y est présente.
Pour que l’équipe d’annotation vidéo puisse faire son travail, Ring lui a fourni un accès sans entraves à un dossier stocké sur un service Amazon S3 qui contenait toutes les vidéos créées par les caméras du fabricant, partout dans le monde. Ring Labs avait aussi à sa disposition une base de données permettant de lier chaque vidéo à un utilisateur spécifique. Zéro confidentialité, donc.
Ces fichiers, accessibles d’un clic, étaient d’autant plus faciles à consulter qu’ils n’étaient pas chiffrés. D’après une source de The Intercept, la direction de Ring avait le sentiment que le chiffrement retirait de la valeur à l’entreprise. Sécuriser des flux vidéo coûte cher, et cela barre la route à de potentielles opportunités de revenus.
Ring est allé encore plus loin, en fournissant à ses ingénieurs et cadres basés aux États-Unis un accès « hautement privilégié » au portail du support technique qui contient les flux vidéo en direct des caméras de nombreux utilisateurs. Peu importe qu’ils aient besoin de ce sésame dans le cadre de leur activité au sein de Ring. Pour espionner quelqu’un, il suffisait de renseigner l’adresse mail de la victime. La source du site assure n’avoir jamais été témoin d’un abus, mais qui sait ?
Selon d’anciens employés cités par The Information, qui a également enquêté sur le sujet, les standards de respect de la confidentialité des données n’ont pas toujours été à l’œuvre chez Ring. En fait, ce n’est que depuis le mois de mai dernier, à l’occasion d’une visite des dirigeants d’Amazon dans les bureaux ukrainiens, que des contrôles plus stricts auraient été mis en place.
Ring, qui doit sentir sur sa nuque le vent chaud de la polémique, n’a pas encore officiellement réagi. La société s’est simplement contentée d’une déclaration basique selon laquelle la confidentialité et la sécurité des données de ses clients sont prises « extrêmement au sérieux » (🙄) et qu’une petite fraction de ses utilisateurs a consenti à l’exploitation de leurs vidéos.
@marenostrum
« Les données qu’on envoit à Apple ou que eux-mêmes ramassent sont traitées par les humains, pas par la machine toute seule. »
Tu mélanges tout.
Personne n’a accès à tes photos à ton insure et sans ton mot de passe.
Elles sont par ailleurs traitées en local.
Comment ces techniques ont été développées, je l’ignore et toi aussi, mais pas à partir du piratage de nos photos, non.
@Bigdidou
"je ne sais pas si c’est de la mythomanie ou si tu ne comprends vraiment rien"
Moi je crois savoir... :-)
@marenostrum
Bien sûr que non. Comment oses tu raconter n’importe quoi comme ça. As tu lu les conditions générales de Photo? Peut être que tu ne sais pas lire, dans ce cas tu es pardonné... wait mais alors comment peux tu poster ici tes contre vérités ?
Tu crois vraiment qu’Apple a accès à toutes les photos de cul des stars du cinéma qui ont toutes des iPhone? Dans tes rêves... tu confonds totalement avec Gogol!
Dans 5 ou 10 ans les scenarios de black mirror seront devenus réalité.... et ca fait peur
MAIS ENFIN ÉVIDEMMENT !
Si vous mettez en place la possibilité technique de faire un acte, il sera FAIT (et abusé par ceux qui veulent abuser de leurs pouvoirs).
L'unique et seule solution est de ne jamais mettre en place d'outils ou logiciels ayant la possibilité technique (le code à l'intérieur de leur processeur et logiciels) de filmer sur commande d'un tiers (via un serveur distant, script, etc).
Aucun automatisme de ses données personnelles (ni via icloud/icloud drive, ni via un service google ou quelque fonction d'automatisation de macOs ou iOs). Aucun achat d'appareil dit de "iot" (_aucun_), et géolocalisation désactivée sauf sur usage express.
(et là encore, connecté à la 4G ou via les wifi publiques, j'accepte une perte de confidentialité limité. Cela n'expose pas ce que je raconte à ma famille sur mes vastes propriétés immobilièr... oups)
Et un regard régulier de ce qu'a foutu mon routeur internet
Et une lecture régulière des revues informatiques sur la sécurité, au cas où de rapports parlant d’envoi de paquets réseaux suspects par ios ou autre logiciels courants.
Parce que oui, ce n'est pas magique, cela se saurait très vite. Ce n'est pas les lutins qui nous informent des cas de logiciels ou services indélicats.
-
Les magazines et associations de consommateurs finiront bien par apprendre à tester les produits ainsi:
- informer si le produit tente de mettre en place une ouverture de port au près du routeur en upnp.
- informer si le produit communique avec un serveurs tiers même hors de tout commande initié par le propriétaire du produit
- reverse engineering et analyse du binaire du logiciel du produit pour voir s'il peut initier de lui même un enregistrement et envoie de son/images sans la demande expresse du propriétaire (en ce sens, le code source devrait mis à disposition aussi extrémiste que cela puisse paraître)
Cela devrait être parmi les critères de recommandation (ou non) lors de revues et tests de produits.
@oomu
+ 1 mais ça va être du boulot...
Il faut que je commence à penser à un cloud perso... un petit tuto MacG ?
@ckermo80Dqy
Les NAS Synology offrent la possibilité de connecter ta caméra à ton NAS et de stocker les vidéos que sur ton NAS + une app iOS (DS Cam) qui te permet de voir ce qui se passe chez toi en passant par ton NAS.
Si c’est bien paramétré, tu es le seul à avoir accès a ce qui est filmé.
@oomu
« Si vous mettez en place la possibilité technique de faire un acte, il sera FAIT «
Complètement d’accord.
A un moment où à un autre, par quelqu’un quelque part.
Il est illusoire de mettre de développer une technique en pensant qu’on en maîtrisera l’application par tout le monde et pour toujours.
Par exemple l’eugénisme commence à exister et perdurera. Des humains seront clonés, etc...
De façon plus positive, la PMA pour tous s’imposera d’une façon ou d’une autre, et je doute fort qu’on contrôle en prohibant la GPA.
Il faut accompagner plutôt que lutter contre à l’arrière garde.
@oomu
"Les magazines et associations de consommateurs finiront bien par apprendre à tester les produits ainsi"
Quand on voit déjà avec quelle extrême compétence ils testent les machines à laver...
C'est pas gagné :-(
C’est peut être ça qui a mené au divorce de Jeff Bezos ??
Ben oui et de toutes façons moi je jette plus rien à la poubelle quand je fais un vide grenier.
Je brûle tout et je met les cendres au coffre.
La fumée je la disperse le plus possible.
Après si je peux pas brûler je découpe mes vieilles photos , mes vieux relevés bancaires en tout petits morceaux et je les mélange le plus possible (y’a des as du puzzle parfois)
Mes déchets je les met dans la poubelle du voisin.
Pas envie qu’on analyse mes habitudes alimentaires.
J’ai banni les cartes de fidélité .
Je donne plus mon nom chez le coiffeur
Je me déguise quand je vais au Restau et quand je vais retirer au distributeur
Sur l’autoroute je passe plus qu’au péage avec des pièces , même si yen a de moins en moins . Ha yen a plus ? Tant pis pour eux alors.
Quand je passe ma visite médicale du travail j’exige que mon dossier soit sous clé et je veux un double (non parce que quand je vois des médecins tellement à cheval sur la sécurité informatique et qui laissent traîner les dossiers dans des armoires non fermées)
Mais c’est vrai que c’est tellement plus dur de forcer une armoire qu’une clé de cryptage...
Je suis pour la trépanation des administrateurs de base de données.
Non parce que jurer sur l’honneur ou signer un document, j’ai pas confiance ...
PS : pour les coupeurs de cheveux en 4 (je les vois déjà se préparer) pas la peine de prendre un exemple précis à part et de le démonter
Tout ça c’est pour l’idée générale ?
@fifounet
« PS : pour les coupeurs de cheveux en 4 (je les vois déjà se préparer) pas la peine de prendre un exemple précis à part et de le démonter «
Je m’y colle.
Tu as oublié les préservatifs.
Jamais dans ta poubelle.
https://www.rtl.fr/actu/debats-societe/l-affaire-jean-luc-cayez-le-concierge-assassin-7779808837
Perso ça me dérange pas pour ring de portier, mais pour les caméras d’intérieur je suis tellement méfiant, j’ai mis sur des prises commandées (a là voix) quand je sort
Pages