Clé à emporter
- Le lundi 17 mai à 04h50 HAE, un bogue a révélé les flux des caméras de sécurité Eufy.
- Les gadgets pour la maison intelligente et l'Internet des objets ne donnent pas la priorité à la sécurité.
- La législation peut obliger les fournisseurs à prendre au sérieux la sécurité de leurs utilisateurs.
Les propriétaires de caméras de sécurité intelligentes Eufy se sont réveillés avec un cauchemar de style hollywoodien plus tôt cette semaine lorsqu'une brèche a exposé leurs caméras à domicile à n'importe qui sur Internet. Comment pouvons-nous être mieux protégés ?
Une mise à jour logicielle a causé la faille, et elle a été corrigée au bout d'une heure. Mais pendant ce temps, une poignée d'utilisateurs d'Eufy ont remarqué qu'ils avaient accès aux flux de caméras en direct d'autres utilisateurs, ainsi qu'à la vidéo enregistrée. La violation a également accordé un accès complet au compte, ce qui signifie que n'importe qui peut faire pivoter et incliner les caméras d'inconnus pour bien voir autour de chez eux. Cela met en évidence les problèmes inhérents à tous les gadgets de maison intelligente.
« À mesure que nous apportons plus de technologie dans les foyers, les cybercriminels porteront de plus en plus leur attention sur ces nouveaux systèmes », a déclaré Ben Dynkin, co-fondateur et PDG d'Atlas Cybersecurity, à Lifewire par e-mail. "Cette surveillance accrue de la part des criminels entraînera inévitablement un nombre croissant d'attaques, et aucune loi ou réglementation ne pourra l'empêcher. Pour résoudre ce problème, nous devons trouver des moyens nouveaux et innovants à la fois de sécuriser les systèmes et de dissuader les activités criminelles."
Non sécurisé par conception
Dans une déclaration fournie à Lifewire par Eufy-maker Anker, une mise à jour logicielle a provoqué le bogue, qui a affecté 712 utilisateurs et a été corrigé en moins de deux heures.
Les problèmes sous-jacents demeurent cependant. Les appareils Internet des objets, comme ces gadgets intelligents pour la maison sont classés, ne sont pas conçus pour être sécurisés.
"Actuellement, les appareils IoT ne sont souvent pas construits avec la sécurité en tête", a déclaré Dan Tyrrell de la société de tests d'intrusion Cob alt.io à Lifewire par e-mail. Le problème est que les concepteurs et les fournisseurs s'intéressent davantage aux fonctionnalités qu'à la sécurité.
"Le marché de l'IoT innove constamment avec des entreprises nouvelles et établies qui proposent des produits et des solutions sur le marché à un rythme effréné", déclare Dynkin. "Cela signifie que pour que les entreprises réussissent dans l'espace, elles doivent innover rapidement et essayer de devancer leurs concurrents, ce qui signifie, inévitablement, que la sécurité sera traitée comme une considération secondaire, plutôt que comme un principe fondamental du produit. Cela conduit aux vulnérabilités ubiquitaires qui peuvent être exploitées."
Il est intéressant de noter que les personnes qui ont connecté leurs caméras Eufy uniquement à l'aide de HomeKit Secure Video d'Apple n'ont pas été affectées par cette violation, ce qui montre qu'une approche axée sur la sécurité est possible.
Règlement
Ces violations ne s'arrêteront que lorsque la sécurité deviendra au moins aussi importante que les fonctionnalités, et cela ne se produira que lorsque quelqu'un forcera les vendeurs de maisons intelligentes à le prendre au sérieux. Une réponse est la réglementation gouvernementale, comme celle que nous avons pour assurer la sécurité de nos aliments, et l'itinérance des téléphones portables de l'UE à bas prix. La réglementation imposerait des normes minimales aux vendeurs et les punirait en cas de manquement.
"La réglementation n'est pas nécessairement la solution miracle pour garantir la sécurité des appareils IoT", déclare Tyrrell. "Au lieu de cela, nous devrions considérer la réglementation comme un pas dans la bonne direction. Je voudrais avertir qu'être conforme à une norme réglementaire n'est pas la même chose qu'être sûr, mais c'est mieux que rien."
Pour résoudre ce problème, nous devons trouver des moyens nouveaux et innovants de sécuriser les systèmes et de dissuader les activités criminelles.
D'autres sont totalement opposés à la réglementation. Paul Engel, fondateur de The Constitution Study, résume cette attitude.
"La dernière chose dont nous avons besoin est une plus grande ingérence du gouvernement", a déclaré Engel à Lifewire par e-mail. "Quelques poursuites judiciaires coûteuses et indemnités d'assurance feraient plus pour pousser ces entreprises à améliorer leur sécurité que n'importe quelle législation."
En fin de compte, la plupart des protections des consommateurs proviennent de la réglementation gouvernementale. Et compte tenu des tendances historiques, il est probable que l'Union européenne agisse en premier sur ce point, mais les États-Unis ont déjà des lois sur lesquelles s'appuyer.
"Nous pourrions étendre les normes énoncées dans la loi 2020 sur l'amélioration de la cybersécurité de l'Internet des objets - qui ne couvre actuellement que les équipements achetés par les agences gouvernementales - aux produits commerciaux et de consommation", a déclaré Paul Bischoff, défenseur de la confidentialité chez Comparitech, à Lifewire. par email. "Cela inclut les mises à jour à distance et automatiques du micrologiciel et des logiciels, la gestion de l'identité et le chiffrement."
Sans une meilleure sécurité, les choses vont empirer.
Protégez-vous
Le moyen le plus simple d'éviter les violations de l'IdO est de ne pas installer d'appareils intelligents pour la maison. Mais si vous devez absolument avoir une sonnette intelligente ou une caméra de sécurité, vous pouvez prendre certaines précautions. Considérons d'abord les appareils qui n'utilisent pas Internet.
"Vous pouvez opter pour une caméra de sécurité qui stocke la vidéo sur un appareil local au lieu d'un serveur cloud", explique Bischoff. "[Et] vous pouvez acheminer les appareils IoT via un VPN installé sur votre routeur Wi-Fi, qui masque votre adresse IP et votre emplacement réels et crypte les données en transit."
À mesure que nous apportons plus de technologie dans les foyers, les cybercriminels porteront de plus en plus leur attention sur ces nouveaux systèmes.
En fin de compte, la chose la plus importante est de se rappeler que la sécurité de vos appareils est de votre responsabilité.
"Les consommateurs doivent pratiquer une bonne cyber-hygiène avec leurs appareils IdO", déclare Tyrrell. "Dans la mesure du possible, modifiez les noms d'utilisateur et les mots de passe par défaut. Connectez uniquement les appareils nécessaires à Internet. Comprenez que c'est votre travail en tant que propriétaire de l'appareil de mettre à jour les correctifs, et faites-le régulièrement. Enfin, maintenez un réseau local séparé dans votre maison pour tous les appareils IoT afin de réduire l'impact d'une violation de l'un de ces appareils."