Faut-il ou pas avoir des appareils connectés à Internet dans son domicile ? Des pirates prennent le contrôle de caméras de sécurité Ring de particuliers
Et s’en servent pour narguer la police.
Faut-il ou pas avoir des appareils connectés à Internet dans son domicile ? L’Internet des objets est-il plus une menace qu’il n’est utile ? La blague qui suit et dans laquelle on retrouve des avis de consommateurs et de travailleurs de la filière technologique donne des pistes de réflexion. Un « ma maison entière est intelligente » fait face à un « le seul appareil connecté dans ma maison est une imprimante et je garde un pistolet à côté pour pouvoir tirer dessus si elle fait un bruit que je ne reconnais pas ».
L’un des débats les plus importants lorsqu’on parle des dispositifs connectés à Internet est celui de leur utilité face aux risques liés à leur utilisation, notamment, le piratage et l’intrusion dans la vie privée de leurs possesseurs. Les dispositifs connectés d’Amazon font partie de ceux qui ravivent les échanges contradictoires à ce propos.
En effet, des procureurs fédéraux ont accusé deux hommes d’avoir participé à une série d’attaques contre plus d’une douzaine de propriétaires de caméras de sécurité Ring. Ils les ont compromises et se sont servi de cet accès pour diffuser en direct l’intervention de la police sur les médias sociaux. Kya Christian Nelson, 21 ans, de Racine (Wisconsin), et James Thomas Andrew McCarty, 20 ans, de Charlotte (Caroline du Nord), ont eu accès à 12 caméras Ring après avoir compromis les comptes Yahoo Mail de chaque propriétaire, selon un acte d’accusation déposé dans le district central de Californie. En une seule semaine, à partir du 7 novembre 2020, les hommes ont passé de faux appels d’urgence aux services de police locaux de chaque propriétaire, dans le but d’attirer une réponse armée et ont même procédé à la diffusion en direct de la réaction de la police.
De plus, l’entreprise (Amazon) fait savoir aux utilisateurs qu’elle se réserve le droit de faire parvenir les vidéos de leur intimité aux forces de l’ordre en cas de force majeure. Elle a d’ailleurs fourni un nombre record de vidéos au gouvernement l’an dernier.
« Comme indiqué dans les directives de Ring relatives à l’application de la loi, Ring se réserve le droit de répondre immédiatement aux demandes d’information urgentes des forces de l’ordre dans les cas impliquant un danger imminent de mort ou de blessure physique grave pour toute personne. Les demandes de divulgation d’urgence doivent être accompagnées d’un formulaire de demande d’urgence dûment rempli. Sur la base des informations fournies dans le formulaire de demande d’urgence et des circonstances décrites par l’agent, Ring détermine de bonne foi si la demande répond à la norme bien connue, fondée sur la loi fédérale, selon laquelle il existe un danger imminent de mort ou de blessure physique grave pour toute personne nécessitant la divulgation d’informations sans délai », précise l’entreprise en réponse au questionnaire d’un sénateur.
Les Amazon Ring sont en principe des solutions de sécurité intelligentes qui permettent à des tiers de surveiller leurs domiciles depuis n’importe quel lieu. Avec une sonnette connectée Ring, il est possible d’échanger avec des personnes se trouvant devant la sonnette (équipée d’une caméra) depuis un FireTV, un Echo Show, un Echo Spot ou un haut-parleur Echo. C’est une espèce d’œil en permanence ouvert sur ce qui se passe aux alentours et à l’intérieur d’un domicile. Les équipes d’Amazon ont accès à ces contenus vidéo et l’entreprise fait savoir qu’elle entretient une infrastructure réseau via laquelle elle les met à disposition des forces de l’ordre.
Brian Huseman, cadre d’Amazon, déclare, dans une récente lettre, que Ring a partagé des vidéos de ces sonnettes connectées au moins 11 fois avec les autorités américaines jusqu’à présent en 2022, ce, sans le consentement du propriétaire de l’appareil. Ce sont là les chiffres pour ce qui est des demandes d’information dites urgentes. Dans ces cas, pas besoin non plus pour la police de produire un mandat.
C’est pour de tels cas de figure qu’Eugène Kaspersky a fait une sortie pour prévenir de ce que l’Internet des objets pourrait rapidement devenir l’Internet des menaces. Sa sortie faisait suite à un rapport de l’entreprise Darktrace selon lequel des pirates s’étaient appuyés sur un thermomètre connecté – utilisé au sein d’un aquarium – pour pénétrer le réseau d’un casino.
Darktrace avait rapporté que les pirates avaient pu extirper 10 Go de données. « Les attaquants se sont appuyés sur le thermostat pour s’infiltrer dans le réseau. Ils ont ensuite pu mettre la main sur la base de données des parieurs et l’ont exfiltré par le même canal jusqu’au cloud », avait indiqué Nicole Eagan – CEO de Darktrace. D’ailleurs, pour cette dernière, « on est désormais submergés d’objets connectés : les thermostats, les systèmes de réfrigération et de conditionnement d’air, sans compter les dispositifs Alexa qui font de plus en plus leur apparition dans les bureaux. Il y a tout simplement trop d’objets connectés. Cette situation augmente la surface d’attaques dont la plupart ne peuvent être contrées par les systèmes de défense conventionnels ».
Avec les objets connectés, il y a d’abord le problème de la qualité qui se pose. Robert Hannigan, ex-directeur de l’agence d’espionnage britannique, touche à cet aspect en faisant une corrélation digne d’intérêt : « J’ai vu une banque se faire pirater au travers de ses caméras CCTV simplement parce qu’on fait primer le coût sur la qualité au moment d’acquérir ces dispositifs. »
Il y a ensuite le savoir-faire des intégrateurs système, c’est-à-dire, des personnes chargées d’insérer ces dispositifs à un existant. Dans le cas de ce casino, ce volet soulève la question de savoir si les personnes à qui cette tâche était dévolue se sont entourées de toutes les précautions de sécurité au moment de l’intégration du thermostat connecté. En substance, il s’agit de vérifier que ces derniers ont procédé à la séparation du réseau de l’aquarium du reste du système informatique.
Le rapport de Darktrace avait apporté réponse à cette interrogation en soulignant que « pour s’assurer de la séparation d’avec le réseau commercial, le casino a placé l’aquarium derrière un réseau privé virtuel afin de l’isoler ». Suffisant ? La réponse est non puisque Darktrace avait pu faire les constats qui avait valu publication de ce cas de piratage informatique.
« Le modèle de communication de l’aquarium avec le reste du système informatique était en accord avec celui d’autres dispositifs configurés de façon similaire. Par contre, notre intelligence artificielle a détecté d’énormes irrégularités pour ce qui est des échanges avec l’extérieur », avait indiqué Darktrace dans son rapport.
De 2016 à 2017, on a beaucoup parlé de Mirai, un malware qui s’appuyait sur des dispositifs de l’IoT pour créer des réseaux de zombies. Cette évocation a, à chaque fois, posé le problème de la vulnérabilité des objets connectés. Ce qu’il faut également dire c’est que la faillibilité est le propre de tous les systèmes informatiques. L’opérateur humain ayant connaissance de cet état de choses doit donc faire primer sa capacité à faire les bons choix pour contribuer à sécuriser son environnement.
Lire aussi : Les caméras Ring accumulent des informations sur les utilisateurs…et leurs voisins
Sources : Developpez – Amazon, Darktrace
