Clé à emporter
- Ubiquiti vend des routeurs sans fil grand public haut de gamme et demande aux nouveaux clients de créer un compte en ligne lors de la configuration du matériel.
- L'entreprise a été piratée dans ce qu'elle a initialement appelé une faille de sécurité mineure, mais qui, selon les experts, est bien pire que mineure.
- Les experts disent que tout matériel nécessitant un compte en ligne pourrait mettre vos données et votre vie privée en danger.
Ubiquiti, un fabricant de matériel réseau riche en fonctionnalités, est la dernière victime d'une faille de sécurité qui met en danger les données des clients.
Ubiquiti est l'une des nombreuses entreprises à demander (ou forcer) les clients à créer un compte lors de la configuration d'un nouveau matériel. D'autres nouveaux routeurs comme Eero d'Amazon et Nest Wifi de Google placent les comptes basés sur le cloud au cœur de l'expérience et ne peuvent pas être utilisés sans connexion.
Leur popularité a encouragé les sociétés de routeurs plus traditionnelles, comme Netgear et Linksys, à suivre le mouvement avec leurs propres options hébergées dans le cloud ou basées sur des applications, bien qu'elles soient toujours facultatives dans la plupart des cas.
"La violation signifie seulement que leurs données sont désormais entre les mains d'une autre partie, autre que le fournisseur", a déclaré Dong Ngo, rédacteur en chef de Dong Knows Tech et ancien critique de routeur pour CNET, dans un message direct sur LinkedIn.
Ngo pense que les comptes cloud obligatoires sont une mauvaise nouvelle pour la confidentialité et la sécurité des clients, et a fréquemment mis en garde ses lecteurs contre les problèmes liés aux interfaces cloud.
Vous voulez faire confiance à votre routeur ? Abandonnez le nuage
La violation des serveurs d'Ubiquiti est un problème pour les clients car de nombreux produits de l'entreprise nécessitent la création d'un compte basé sur le cloud. Un exemple est la Dream Machine, un routeur prosumer que la société a lancé en 2019.
Ngo considère comme négatif si un routeur qu'il examine ne permet pas d'utiliser une alternative contrôlée localement. Il avertit que le matériel réseau reposant sur un compte obligatoire basé sur le cloud ne laisse d'autre choix aux propriétaires que de confier la confidentialité et la sécurité à un tiers et limite les options d'un utilisateur en cas de violation.
Qu'est-ce donc qu'un propriétaire soucieux de la sécurité doit faire ? "Conservez l'interface Web locale", a déclaré Ngo. "Évitez d'utiliser une application mobile."
La meilleure option n'est pas un routeur haut de gamme promettant une interface cloud robuste, mais plutôt un routeur simple et peu coûteux avec une interface locale accessible via un navigateur Web.
Les fans d'UniFi ont leurs craintes confirmées
La violation du serveur basé sur le cloud d'Ubiquiti a touché un point sensible pour les fans lorsque la société a exigé que les propriétaires de la plupart des appareils s'inscrivent pour un compte Ubiquiti lors de la configuration. Il est nécessaire pour accéder à la plate-forme UniFi de l'entreprise, qui contrôle les routeurs de l'entreprise et d'autres produits en réseau.
La dernière déclaration d'Ubiquiti, écrite en réponse à de nouvelles allégations dans un rapport publié par le journaliste spécialisé dans la sécurité Brian Krebs, a été publiée sur son forum communautaire le 31 mars.
La déclaration répète que les experts en réponse aux incidents "n'ont identifié aucune preuve que les informations client ont été consultées, ou même ciblées". Ubiquiti continue de travailler avec les forces de l'ordre pour identifier l'agresseur et prétend disposer de "preuves bien développées".
Cela n'a fait qu'alimenter le tumulte sur le forum communautaire de l'entreprise, qui lui sert de principal moyen de communication avec les clients.
Bien que l'entreprise affirme qu'il n'y a aucune preuve que les données des clients aient été ciblées ou violées, Ubiquiti n'a pas réfuté les nouvelles allégations selon lesquelles elle n'a pas conservé les journaux d'accès aux comptes clients sur son service cloud.
Un client postant sous le nom de Sonar a clairement exprimé sa déception en disant: "C'est du sel supplémentaire dans la plaie qu'Ubiquiti a essayé de forcer l'accès au cloud dans la gorge des pauvres gens [en utilisant des produits UniFi]."
D'autres se sont joints à nous, menaçant de boycotter le futur matériel Ubiquiti si l'exigence d'un compte basé sur le cloud n'est pas abandonnée dans les futures mises à jour du firmware.
Le message de la communauté sur le rapport de Krebs a reçu plus de 430 commentaires de clients et 17 000 vues. Un autre message demandant à Ubiquiti de rendre les comptes locaux disponibles a reçu 250 commentaires et plus de 12 000 vues.
On ne sait pas ce qu'Ubiquiti fera pour regagner la confiance des fans. La société n'a pas répondu à la demande de commentaire de Lifewire et n'a offert aucune réponse aux clients dans les fils de discussion de la communauté discutant de la violation.
La violation signifie seulement que leurs données sont désormais entre les mains d'une autre partie, autre que le fournisseur.
Le silence d'Ubiquiti semble confirmer les conseils de Ngo. Un routeur contrôlé localement peut certainement avoir des vulnérabilités, mais les propriétaires ont au moins des options.
Les clients d'Ubiquiti sont confrontés à un choix plus difficile: continuer à faire confiance à l'entreprise et espérer que le problème n'est pas aussi grave qu'on le prétend, ou cesser complètement d'utiliser ses produits.
Ce même choix attend les clients d'autres routeurs qui s'appuient sur des comptes basés sur le cloud. Leur simplicité et leur commodité peuvent sembler séduisantes, mais les options qui s'offrent aux utilisateurs sont tout sauf simples lorsque le service cloud associé est piraté.