En diffusant les mots de passe en clair lors de l’initialisation du portier video connecté , l’application Android Amazon Ring permettait à des attaquants de s’introduire sur le réseau Wi-fi pour y déployer potentiellement des attaques. Amazon a publié un correctif le 31 mai.
L’histoire bégaie pour le service Amazon Ring. En novembre 2019, des experts en sécurité informatique de BitDefender avaient découvert une brèche de sécurité concernant les interphones video connectés Amazon Ring Video Doorbell Pro. Amazon avait publié un correctif en septembre 2019. Lors de l’initialisation du système, l’application de contrôle de la sonnerie envoyait l’identifiant et le mot de passe en clair du réseau sans fil. Un attaquant pouvait donc à proximité du domicile accéder au réseau Wi-Fi pour lancer des attaques.
Le 1er mai 2022, Checkmarx, éditeur de solutions de sécurité, alertait sur la présence d’une faille critique dans l'application Android Amazon Ring. Cette vulnérabilité aurait permis à un malware installé sur un smartphone d'espionner un utilisateur et d’exposer ses données personnelles, nom, adresse mail, téléphone, sa géolocalisation et ses enregistrements vidéo stockés dans le cloud. Il s’agit d’une faille XSS (cross file scripting) permettant d'injecter du contenu dans une page web, induisant alors des actions via les navigateurs web des visiteurs. Amazon a publié un correctif le 27 mai 2022 pour la version 3.51.0 et affirme qu’il n’y a aucune preuve que cette faille ait été exploitée. Surtout, la firme de Jeff Bezos insiste sur le fait qu’aucun client n’a été touché par ce problème en diffusant ce communiqué : « Nous avons déployé un correctif pour les clients Android le 27 mai 2022, peu de temps après le traitement de la découverte des chercheurs. D'après notre examen, aucune information client n'a été exposée. Cette faille serait extrêmement difficile à exploiter pour quiconque, car elle nécessite un ensemble improbable et complexe de circonstances pour être exécutée ».
La puissance des outils de machine learning potentialise la gravité des attaques
Le risque que des applications malveillantes installées dans le réseau domotique d’Amazon créent de sérieux incidents de sécurité, est bien réel. En effet, des millions de vidéos peuvent être explorées par Amazon Rekognition qui repose sur le machine learning. Cela permet à des cyberattaquants d'automatiser l'analyse des enregistrements vidéo pour y extraire rapidement les informations qui les intéressent. Rekognition peut en effet scanner un énorme volume de vidéos et y détecter des objets, du texte, des visages et des images de personnalités publiques, etc. Ce service pourrait être utilisé à des fins de lecture d'informations sensibles à partir d'écrans d'ordinateurs et de documents visibles par les caméras du réseau Ring ainsi que pour le suivi des mouvements de personnes à l'intérieur et à l'extérieur d’un domicile. Par exemple, identifier finement des éléments compromettants ou sensibles
En juin 2022, la série d’incidents de cybersécurité continue avec une nouvelle publication par Amazon d’une faille puis de son correctif pour son application Androïd Photos téléchargée 50 millions de fois sur Google Play Store. Là aussi, il s’agit d’une brèche permettant d’accéder aux photos et vidéos, sans passer par une authentification sécurisée.
Le monde des objets et systèmes connectés n’est pas sans nuages.
