Ce piratage d'une caméra Ring incite sérieusement à activer l'identification deux facteurs 🆕

Mickaël Bazoge |

C'est une histoire qui fait froid dans le dos : un pirate est parvenu à accéder aux flux vidéo d'une caméra Ring installée dans la chambre de trois petites filles, dans le Tennessee. Pire encore, il a pu leur parler via le haut-parleur de la caméra, installée depuis quatre jours dans la pièce. Avant que les parents ne s'aperçoivent du piratage, le hacker a donc pu espionner les allées et venues des gamines pendant plusieurs jours…

Si le voyeur a pu accomplir son forfait, c'est parce que le compte Ring n'avait pas été protégé avec un deuxième facteur d'identification. Sans cette protection supplémentaire, il suffit d'un identifiant et d'un mot de passe (souvent, un peu d'ingénierie sociale suffit pour obtenir ces informations) pour prendre le contrôle de la caméra.

De fait, et comme Amazon le propriétaire de Ring l'indique à Motherboard, ce n'est pas une faille de sécurité qui est à l'origine de cet espionnage. L'entreprise recommande vivement d'activer l'identification 2FA, de ne pas partager les identifiants d'un compte mais d'utiliser les fonctions de partage du compte, d'utiliser des mots de passe forts et de les changer régulièrement.

Un des outils servant à « craquer » des comptes Ring.

Amazon devra porter beaucoup plus fort ces conseils de bon sens. Motherboard est tombé sur un outil qui permet d'automatiser la connexion à des comptes Ring par la force brute (il en existe aussi pour d'autres services en ligne).

Mise à jour — Ring nous a fait parvenir une déclaration qui reprend les mêmes propos que ceux obtenus par Motherboard : « nous avons été mis au courant d’un incident lors duquel des individus malveillants ont obtenu des informations d’identification de certains utilisateurs de Ring (par exemple nom d’utilisateur et mot de passe), depuis un service externe à Ring. Ces informations ont ensuite été réutilisées pour se connecter à certains comptes Ring. Malheureusement, lorsque le même nom d’utilisateur et le même mot de passe sont réutilisés sur plusieurs services, il est possible que des individus malveillants aient accès à plusieurs comptes ». Les recommandations sont là aussi identiques, bien sûr : « Nos utilisateurs doivent toujours veiller à leur mot de passe et nous encourageons les clients de Ring à changer leurs mots de passe et à utiliser l’authentification à double facteur ».

avatar Bigdidou | 

C’est bien pour ça que ces caméras d’auto surveillance me laissent bien dubitatif.
Une utilité pas très clair face à un risque très clair de mon point de vue.

avatar Krysten2001 | 

@Bigdidou

Voilà pourquoi une caméra sous HomeKit est bien depuis ce début d’année

avatar lufffy447 | 

Je suis toujours dans l’incompréhension la plus totale quant au fait que Netatmo ne propose même pas de 2FA.
En 2019 ça me parait incroyable...

avatar powergeek | 

@lufffy447

Sur le forum Netatmo la demande a été faite il y a 2 mois mais aucune réponse !

avatar lufffy447 | 

@powergeek

Ça fait déjà un moment que je les relance sur Twitter mais à chaque fois la même réponse laconique « merci de votre intérêt blablabla »

avatar flux_capacitor | 

@lufffy447

Des "bots humains" moins imaginatifs que certaines IA !

avatar lufffy447 | 

@flux_capacitor

Même pas sur au final. J’ai déjà pu discuter avec eux sur Twitter mais c’est la mode de ne pas répondre clairement sur les projets en cours.

avatar Minileul | 

@lufffy447

Comment va faire Google après pour vendre les données vidéos s’il n’y ont plus accès ;)

avatar lufffy447 | 

@Minileul

Hum Netatmo n’appartient pas à Google mais à Legrand. Par contre au prochain article du genre sur la Nest Cam on pourra en reparler haha

avatar John McClane | 

@lufffy447

Je viens de relancer Netatmo par e-mail, on peut tous leur écrire, peut-être que ça les fera bouger !

avatar lufffy447 | 

@John McClane
Pourquoi pas oui. À mon avis ils sont au courant mais ça doit pas se mettre en place si facilement, d’où la dé-priorisation je suppose

avatar fousfous | 

HomeKit ou rien.

avatar Bart94 | 

Le HomeKit apporte quoi ?

avatar John McClane | 

@Bart94

Sécurisation par Apple, et aucune donnée stockée sur les serveurs du fabricant de la caméra.

avatar lufffy447 | 

@John McClane

Pour la circle 2 c’est le cas mais côté Netatmo par exemple leur appli continue de fonctionner pleinement en parallèle de HomeKit Secure Vidéo

avatar oomu | 

"c'est parce que le compte Ring n'avait pas été protégé avec un deuxième facteur d'identification"

"De fait, et comme Amazon le propriétaire de Ring l'indique à Motherboard, ce n'est pas une faille de sécurité qui est à l'origine de cet espionnage"

et oui, encore une fois ce n'est jamais la faute d'un Geek Nord Américain (le GAN !) mais bel et bien de ces chalauds de clients qui ont utilisé le produit tel que fournit (alors que bien sur, de base le produit ne devrait avoir qu'un mode de contrôle sécurisé ET fiable...).

-
vous savez ce que cela m'inspire ?

Non pas d'activer "double facteur" et d'attendre une faille et hack de à la fois mon éventuel mobile et caméras

mais de ne PAS acheter de caméras ou tout appareil connectés à des services en lignes gérés par un tiers (un tiers qui n'est ni moi, ni foutu d'imposer des mécanismes sécurisés et fiables _uniquement_ et PAR DEFAUT)

Le IOT commercial est cassé de base ou balancé à la figure des consommateurs avec des défauts béants.

-
A terme la sécurité informatique d'une maison/appart devrait être comme un cumulus/clim/compteur électrique etc : installation par un professionnel, révision régulière, connexion directe via VPN/tunnel chiffré au réseau de la maison, autonome, PUIS accès au service interne, le tout sous des conditions de sécurité et identifiants draconiennes (pas de possibilité d'utiliser juste un mot de passe).

Et Que quand on les perds ses identifiants ou qu'on a oublié comme marche le foutu certificat/profile+double facteur, on appelle le Serrurier Geek du coin pour conseil ou on réinitialise tout sur place.

-
Homekit revient dans les discussions, parce que même si on est dépendant d'un tiers nommé Apple, il est vrai qu'Apple impose des règles strictes

-
Après, je sais pas trop si l'image ici est censé être représentative. ou juste une invention pour illustration, mais à l'âge de la gamine, je ne pense pas que les parents devraient foutre une caméra dans sa chambre.

avatar pat3 | 

@oomu

mais de ne PAS acheter de caméras ou tout appareil connectés à des services en lignes gérés par un tiers (un tiers qui n'est ni moi, ni foutu d'imposer des mécanismes sécurisés et fiables _uniquement_ et PAR DEFAUT)

Voilà, tout est dit.

avatar raoolito | 

@pat3

bonne chance, c'est effectivement toujours possible mais c'était comme en 1975 dire "je veux me passer d'électricité" c'était possible, mais pas simple à l'époque. Quand à de nos jours...

avatar 421 | 

@raoolito

RAspberry + 4G + alimentation solaire

avatar J'en_crois Pas_mes yeux | 

@oomu "je ne pense pas que les parents devraient foutre une caméra dans sa chambre"
Mettre une caméra de surveillance en direction d'un lit, ça ne me viendrait pas à l'idée.
Mettre une caméra face aux lits de 3 petites filles, je ne peux l'imaginer...

avatar Bigdidou | 

@J'en_crois Pas_mes yeux

« Mettre une caméra face aux lits de 3 petites filles, je ne peux l'imaginer... »

Vu la chambre, il s’agit petites filles, plus des nourrissons.
Quel peut bien être l’objectif d’y mettre une caméra de surveillance ?
Voilà des enfants qui,débutent leur vie en étant surveillés en permanence dans leur intimité et à qui on explique que c’est une normalité.
C’est de la maltraitance.

avatar raphta | 

Sinon, personne ne considère comme une faille qu’on puisse trouver les passwords par bruteforce ?
Que l’accès ne soit pas bloqué après quelques erreurs ?
Qu’on ne reçoivent pas une notification quand un nouveau device se connecte ?
PS ce genre de notification devrait aussi exister pour son wifi... avec validation manuelle si on veut...

avatar hirtrey | 

@raphta

Sur mon NAS j’ai eu 2000 tentative de connexion. Pourquoi cela n’a pas été détecté. 1 min 02 entre chaque connexion, et voilà.

avatar roccoyop | 

Sur le mien j'ai aussi créé une règle qui bloque l'IP s'il y a plus de 5 tentatives, et j'ai interdit les IP des pays louches de pouvoir se connecter dessus.

Donc pour pouvoir faire de la force brut chez moi, il faut être en Europe, et encore, pas dans tous les pays ou d'utiliser un VPN et de changer d'IP toutes les 5 tentatives. Ça limite déjà pas mal la chose. Et en plus il y a authentification à 2 facteurs obligatoire.

Je ne suis pas allé fouiller dans les logs, mais en général je reçois un mail dès qu'une tentative a été bloquée... Je n'ai reçu ce mail qu'une seule fois. Un de mes clients qui avait oublié son mot de passe, donc loin d'être un méchant hacker qui voudrait s'amuser.

avatar DG33 | 

@roccoyop

On fait ça comment sur un QNAP et un ASUSTOR ?

avatar roccoyop | 

@DG33

Aucune idée. J’ai un Synology.

avatar occam | 

Activer l’identification deux facteurs risque d’aggraver les choses.
En effet, il est de notoriété que le facteur sonne toujours deux fois. Deux facteurs, la sonnerie qui sonne quatre fois, cela ne peut que prêter à confusion. Surtout si un tiers venait à sonner après le premier facteur, mais avant le second.

avatar flux_capacitor | 

@occam

Raymond Devos, sort de ce corps !

avatar occam | 

@flux_capacitor

Moi, gros ? Je ne suis pas gros, juste un peu enveloppé, c’est tout.

avatar Nesus | 

Si ça passe en force brut, le problème vient surtout d’Amazon. Et changer de mot de passe régulièrement est une mauvaise idée. Il faut avoir un mot de passe long et à toutes épreuve et le garder. Les mit de passe que l’on change régulièrement son contre productif car comme ils doivent être changés souvent les utilisateurs les font courts et faciles.

avatar iDanny | 

J’ai acheté récemment une petite caméra de ce genre pour une bouchée de pain à l’occasion du Black Friday, juste pour tester pour le fun (bon ok, et pour voir si la femme de ménage ne glande pas trop 😬): une Netvue Orb, basique mais qui fait bien le job.

Il faut se créer un compte pour utiliser l’appli iOS, et pour se connecter à la caméra il faut scanner un QR code qui est dessus.

Il n’y a pas d’authentification à 2 postiers, mais la caméra n’est pas exposée directement sur internet (et le firewall de ma box en bloquerait l’accès par défaut de toute façon), donc avec tout ça je ne vois pas trop comment un hacker peut facilement avoir accès à la caméra, à part en hackant mes identifiants pour se connecter à l’app iOS bien sûr 🤔

avatar Bigdidou | 

@iDanny

Pour info, quand même, tu peux installer une caméra quand ta femme de ménage est là, mais sous des conditions assez strictes et pas pour la surveiller directement.
Et, évidemment, il faut qu’elle soit avertie ;)

https://www.cnil.fr/fr/cnil-direct/question/un-particulier-employeur-peu...

avatar iDanny | 

@Bigdidou

Je sais les gars... mais c’est pas le sujet là 😊
Si qqun peut me convaincre qu’il y a un risque technique avec ma caméra, autre que ce dont je parle ci-dessus 🤔

avatar J'en_crois Pas_mes yeux | 

@iDanny "Je sais les gars... mais c’est pas le sujet là "
Alors si tu sais (que tu es dans l'illégalité complète) pas de problème alors :
Lors de ton procès, cette confirmation permettra une condamnation maximum.
La partie civile te dit merci ! :-)

avatar iDanny | 

@J'en_crois Pas_mes yeux

C’est pas moi M’sieur le Juge 😇

avatar pagaupa | 

@Bigdidou

Reste à faire la différence entre sécurité et filmage du personnel...

avatar Bigdidou | 

@pagaupa

« Reste à faire la différence entre sécurité et filmage du personnel... »

La CNIL est très claire à ce sujet : on peut fixer la caméra sur un endroit précis à surveiller, mais pas suivre en permanence un personnel.
Il s’agit de surveiller des biens, pas ce que fait le personnel.

avatar Sindanárië | 

@Bigdidou

Comment ça? Depuis quand le personnel n’est pas un bien??
Nonmédidonc !!!

avatar Bigdidou | 

@Sindanárië

Arf, c'est vrai.
Ça et les 'livreurs à 2 euros, une certaine conception de l'esclavage revient en force, tu as raison.

avatar cecemf | 

Pourquoi il le font pas l’authentification as deux temps par default ?!? Ça serait logique non.

avatar pagaupa | 

Aaaah! Caméra! Quand tu me tiens...

avatar kertruc | 

Faut être sacrément malade pour mettre une caméra dans la chambre de ses enfants.

avatar mk3d | 

Et hop un débat gilet jaune sur la sécurité, un!

CONNEXION UTILISATEUR