BFM Business

Les sonnettes connectées d'Amazon laissent fuiter des mots de passe de réseaux Wi-Fi

Les sonnettes connectées Ring.

Les sonnettes connectées Ring. - Amazon

Des sonnettes et interphones connectés d'une filiale d'Amazon souffraient d'un défaut de sécurité. Ils pouvaient laisser apparaître, en clair, les mots de passe des réseaux Wi-Fi domestiques auxquels ils étaient reliés.

Pour pirater un réseau Wi-Fi, les hackers ont l'embarras du choix. S’acharner, par force brute, à enchaîner automatiquement les combinaisons de mots de passe, pour essayer de tomber par miracle sur le bon. Ou infiltrer plus finement le réseau, en misant sur un objet connecté présentant des failles.

D'après des chercheurs en sécurité de Bitdefender, dont les conclusions ont été relayées par le site américain Techcrunch, les sonnettes connectées de Ring, une filiale d'Amazon, offraient cette possibilité. Ces mêmes sonnettes sont dotées d'une caméra et placées à proximité d'une porte d'entrée pour mieux surveiller les arrivants.

La découverte de ces failles intervient quelques jours après que Ring a dévoilé des vidéos d'enfants filmés par ses sonnettes connectées le soir d'Halloween, sans prendre le soin de flouter leurs visages. "La confiance de nos utilisateurs est capitale pour nous et nous prenons la sécurité de nos produits très au sérieux", a fait savoir Ring par communiqué. "Nous avons mis en place une mise à jour de sécurité concernant cette faille. Elle a depuis été résolue." 

Des mots de passe en clair

Pour fonctionner, les appareils sont systématiquement reliés au réseau Wi-Fi domestique. La vulnérabilité découverte permettait d'en afficher facilement le mot de passe, et donc de pouvoir s'y connecter. 

Le principal problème? Ce même mot de passe était envoyé "en clair" vers le téléphone de l'utilisateur, et donc sans protection aucune, alors même qu'il aurait dû être chiffré. Il pouvait donc facilement être intercepté, puis mis à profit pour prendre le contrôle du réseau Wi-Fi, voire accéder à d'autres objets connectés liés au même réseau.

Les objets connectés constituent une entrée de choix pour pirater les réseaux Wi-Fi domestiques. Par le passé, un populaire tableau de bord connecté, qui permettait de paramétrer d'un clic chacun des objets connectés de la maison, avait fait les frais d'une telle faille, relevait également Techcrunch. Fin 2016, des ampoules connectées Philips Hue avaient également été touchées.

https://twitter.com/Elsa_Trujillo_?s=09 Elsa Trujillo Journaliste BFM Tech