ring iot securité

Les interphones Ring envoyaient des données accidentellement à la Chine

Plus tôt ce mois-ci, certains utilisateurs d’interphones connectés ont découvert que leur appareil envoyait de minuscules quantités de données vers la Chine.

Cette sonnette, créée par la startup américaine Ring, est censée envoyer des données vidéo et audio aux serveurs d’Amazon Web Services. Mais, à l’insu de l’entreprise, une petite quantité de données audio a été envoyée vers un serveur chinois détenu par le géant de l’Internet Baidu à des intervalles aléatoires.

C’est un utilisateur de Reedit qui a découvert cet étrange trafic. Une semaine plus tard apparaissait un poste sur le site IoT For All intitulé « Huge Vulnerability Discovered in the Ring Doorbell« .

Black Friday : -75% sur le stockage à vie 500Go et 2To chez pCloud 🤑

Joshua Roth, le directeur technique de la société, a répondu rapidement que les données envoyées à la Chine ne représentent que 20 millisecondes de données audio et aucune vulnérabilité en termes de sécurité. Il a promis une mise à jour du firmware à tous les appareils Ring Video Doorbell Pro, le seul périphérique Ring affecté par le bug, pour arrêter la connexion au serveur chinois.

Aucune preuve de l’existence d’un risque pour le consommateur

Selon le cabinet de conseil Tevora, l’appareil est maintenant sécurisé et ne communique plus avec les serveurs chinois. La faille existait dans la version 1.4.26 du logiciel, mais n’est plus présente dans la version 1.4.29 mise à jour. Tevora n’a pas classé l’incident comme vulnérable, mais comme un simple bug inoffensif. « Il n’y a aucune preuve de l’existence d’un risque pour le consommateur« , a conclu le rapport.

Néanmoins, cet épisode souligne un sentiment de paranoïa autour de ces dispositifs. Des appareils électroménagers aux lampadaires, en passant par les voitures, l’IoT apporte des inquiétudes en ce qui concerne l’espionnage. En octobre, le botnet Mirai avait causé une panne massive d’Internet à travers des caméras piratées.

Les entreprises américaines comme Ring ont des consommateurs méfiants envers l’envoi de données à l’étranger. Il existe une stigmatisation associée à l’envoi de données dans des pays comme la Chine, bien que cela ne représente aucune menace réelle.

Il semblerait qu’il ne suffise plus de s’assurer que le gadget est sécurisé. Les fabricants de périphériques connectés se doivent de mieux s’assurer eux-mêmes de la sécurité de leurs appareils.

Fondée en 2012, la startup Ring est le plus grand acteur sur le marché de l’interphone connecté. Avec plus de 445 millions de dollars levés, les ventes annuelles de la société ont doublé en 2016, par rapport à l’année précédente.

Stigmatisation des produits venant de Chine

Ring est toutefois coupable de ne pas avoir su que les données étaient envoyées en Chine, un problème trop fréquent avec les nouveaux dispositifs IoT. Les startups se précipitent souvent dans le développement de leurs produits, sans prendre le temps de comprendre le fonctionnement intérieur de chaque composant.

Selon Zach Wikholm, ce type de communication non intentionnelle révèle un certain degré de négligence. Les composants et logiciels achetés sur le marché chinois en seraient la cause.

« Il est tout à fait normal pour les composants IoT de communiquer avec le fabricant, pour vérifier la connectivité et les mises à jour. Je suppose que c’est ce qui se passe avec le périphérique de Ring » déclare Tod Beardsley, directeur de recherche chez Rapid7.

De plus, Ring n’a pas avoué utiliser de systèmes chinois. Selon Wikholm, « il y a une grande stigmatisation. Comme quoi tout ce qui vient de Chine est mauvais ».

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *