Lorsque les caméras Wyze ont redémarré après une panne le mois dernier, environ 13 000 utilisateurs ont reçu des vignettes d’images provenant du domicile de quelqu’un d’autre. Ce n’était pas la première fois que la société, connue pour ses caméras de sécurité abordables, s’excusait pour une violation de la vie privée, ni la première fois qu’une erreur permettait aux utilisateurs de voir des images de caméra qui ne leur appartenaient pas. Wyze est loin d’être le seul à générer des titres d’erreur. Depuis un employé d’Amazon qui a accédé aux vidéos d’utilisatrices, jusqu’à l’employé d’ADT qui a admis avoir piraté plus de 200 comptes, les violations de la vie privée sont un risque réel avec les caméras connectées. Mais existe-t-il quelque chose que les maisons intelligentes peuvent faire pour continuer à alimenter des fonctionnalités telles que les lumières activées par le mouvement, les notifications de colis et les alertes de sécurité? Ou bien, le dernier scandale suggère-t-il que la meilleure approche est de se débarrasser complètement des caméras intelligentes? Dans le cas de la dernière violation de sécurité de Wyze, les données n’ont pas été consultées par des mots de passe faibles ou même par des pirates sophistiqués. Alors qu’il existe des meilleures pratiques que les maisons intelligentes peuvent utiliser pour mieux protéger les données, même les rituels de confidentialité les plus rigides peuvent ne pas empêcher les violations de la vie privée. Dans le cas de la dernière violation de sécurité de Wyze, les données n’ont pas été consultées par des mots de passe faibles ou même par des pirates sophistiqués. Selon la société, une bibliothèque tierce de mise en cache a mélangé les identifiants de périphériques et d’utilisateurs, envoyant les mauvaises données aux comptes. La violation de Wyze n’aurait pas pu être empêchée par les utilisateurs eux-mêmes. Le Dr TJ OConnor, PhD, président du programme de cybersécurité à Florida Tech et co-auteur de plusieurs études de recherche sur la sécurité de l’IoT, nous a expliqué que bien que la connexion aux serveurs cloud était cryptée, les fichiers eux-mêmes ne l’étaient pas. En tant que consommateurs, nous avons peu de transparence sur la manière et l’endroit où nos vidéos sont stockées. Tout le contenu est stocké dans le cloud sur les serveurs du réseau de diffusion de contenu. C’est une approche assez courante, a-t-il dit, car l’option « chiffrée au repos » entraîne des problèmes de performance et d’utilisabilité. Le Dr OConnor nous a clairement expliqué ci-dessous les détails. L’incident de Wyze représente un problème plus important pour les fournisseurs de caméras de sécurité. En tant que consommateurs, nous avons peu de transparence sur la manière et l’endroit où nos vidéos sont stockées. Tout le contenu est stocké dans le cloud sur les serveurs de diffusion de contenu d’AWS. Dans le cas de Wyze, il semble qu’ils stockent des clips vidéo et des vignettes non chiffrés sur les serveurs de diffusion de contenu d’AWS. Le défaut de chiffrement des données constitue le problème sous-jacent ici. Cela pourrait permettre à un employé malveillant de visionner les vidéos. Ou dans le cas présent, un incident technique pourrait inadvertamment présenter nos vidéos non chiffrées à d’autres consommateurs. Dans une étude qu’OConnor a co-écrite l’année dernière, les chercheurs ont théorisé que la demande de caméras intelligentes bon marché avait créé de nombreux dispositifs grossièrement non sécurisés. Toutes les cinq caméras de sécurité étudiées par Kangaroo, NightOwl et Geeni pour moins de 100 dollars avaient un logiciel de sécurité insuffisant, ont constaté les chercheurs, y compris un chiffrement manquant. Est-il temps de se débarrasser des caméras intelligentes? Pour les plus soucieux de la vie privée, la réponse peut être oui – après tout, seul Wyze aurait pu prévenir la dernière violation, pas l’utilisateur final. Cependant, les caméras étant une partie intégrante de nombreux appareils domestiques connectés, y compris les aspirateurs robots et les réfrigérateurs intelligents, se passer de caméras n’est pas pour tout le monde. En fait, après toutes ses recherches sur les failles de sécurité de l’IoT, OConnor lui-même équipe toujours sa résidence de sonnettes vidéo, d’assistants vocaux et d’autres appareils intelligents. Bien qu’il souligne qu’il n’y a pas de garantie de sécurité, en utilisant les meilleures pratiques comme un réseau sans fil séparé et des mots de passe forts, on peut prévenir certaines violations potentielles. En ce qui concerne les utilisateurs de Wyze, les violations passées peuvent être de trop pour certains clients qui resteront fidèles à la marque. Cependant, OConnor note que Wyze a signalé lui-même la dernière violation au lieu de tenter de la cacher ou de la nier, et lorsque ses recherches précédentes en 2019 ont signalé des problèmes potentiels, la société a mis en place plusieurs changements, notamment un programme de primes de bogues. Aucune caméra intelligente ne garantit la confidentialité, car tout ce qui est stocké dans le cloud peut présenter des vulnérabilités potentielles, mais en mettant en œuvre quelques bonnes pratiques, on peut empêcher certains types d’accès illégitimes. La première règle pour équiper une maison intelligente de tout appareil doté d’une caméra est de laisser ces gadgets en dehors des espaces privés. Dans la plainte de la Federal Trade Commission contre Ring, par exemple, un employé a accédé à des vidéos d’utilisatrices provenant de caméras portant des noms d’espaces tels que chambres et salles de bains. Si vous devez absolument avoir un assistant intelligent comme réveil ou avoir un haut-parleur intelligent dans la douche, choisissez des modèles sans caméra intégrée. Garder les caméras hors des chambres n’est pas toujours possible avec les babyphones vidéo. Si vous avez décidé que les risques en matière de confidentialité valent la tranquillité d’esprit pour voir et entendre votre enfant, placez la caméra de telle sorte que seule la zone de sommeil soit visible et excluez de la portée des images les zones de changement. La plupart des caméras conçues pour la sécurité ou les caméras pour animaux de compagnie ne sont pas nécessaires une fois rentré chez soi – dans ce cas, désactiver les caméras lorsqu’on est chez soi peut être une bonne idée. Si sortir l’application à chaque retour à la maison semble fastidieux, dans de nombreux cas, on peut demander à un assistant vocal comme Alexa de désarmer vos caméras intelligentes. Le géorepérage peut armer et désarmer automatiquement ces caméras, mais cela comporte également ses propres risques en matière de vie privée. En utilisant l’emplacement de votre smartphone, le géorepérage désactivera automatiquement vos caméras lorsque vous rentrerez chez vous. Outre l’élimination de l’agacement de recevoir une notification lorsque vous passez devant votre propre caméra, cette fonction signifie également qu’il y a moins de vidéos de vous susceptibles de finir dans une violation de la vie privée. OConnor recommande de restreindre toutes les autorisations de partage au strict minimum, ce qui signifierait laisser les fonctionnalités de géorepérage désactivées. Cependant, cela est à double tranchant en termes de vie privée. Le géorepérage nécessite de permettre à l’application de la maison intelligente d’accéder en permanence à l’emplacement de votre smartphone, ce qui signifie au mieux que vous verrez probablement plus de publicités ciblées en fonction de l’emplacement. OConnor recommande de restreindre toutes les autorisations de partage au strict minimum, ce qui signifierait laisser les fonctionnalités de géorepérage désactivées. Toutes les fonctionnalités de confidentialité que l’on peut contrôler via une application de maison intelligente peuvent potentiellement être désactivées par des pirates. Les utilisateurs de maison intelligente doivent garder cela à l’esprit lors de la configuration de tout appareil doté d’une caméra. Par exemple, si quelqu’un parvient à accéder à votre compte, il pourrait désactiver le géorepérage. Dans l’étude d’OConnor sur les risques de sécurité des caméras bon marché en 2023, par exemple, les chercheurs ont constaté qu’un mode confidentialité sur une caméra de confidentialité Kangaroo qui floutait la vue de l’objectif en activant un objectif à cristaux liquides présentait une vulnérabilité du micrologiciel pouvant permettre de manipuler la fonction de confidentialité. Les fonctionnalités de confidentialité physiques, comme le cache-caméra sur de nombreux modèles Alexa Show, sont plus difficiles à manipuler par des personnes malveillantes. Seule une personne physiquement présente peut retirer le cache de confidentialité physique. Lors de la configuration d’un système de maison intelligente, ne réutilisez jamais un mot de passe existant que vous avez défini pour un autre compte. Utiliser un mot de passe complexe – une série de lettres et de chiffres générés de manière aléatoire est plus difficile à pirater que ceux utilisant des mots communs ou des chiffres facilement mémorisables comme les anniversaires et les adresses. Un gestionnaire de mots de passe peut faciliter la tâche de création de mots de passe uniques et complexes pour tous vos comptes en ligne. Activez toujours l’authentification à deux facteurs pour les appareils de maison intelligente. Si quelqu’un tente d’accéder à votre compte, dans la plupart des cas, vous recevrez une notification et pourrez empêcher l’accès, puis modifier votre mot de passe. OConnor recommande d’utiliser un point d’accès sans fil séparé pour tout appareil de maison intelligente. Fractionner votre réseau Wi-Fi, comme créer un VLAN ou diviser votre routeur en réseaux 2,5 Ghz et 5 Ghz, permet à vos appareils intelligents d’utiliser un mot de passe Wi-Fi séparé. Cela est particulièrement important si vous donnez votre mot de passe Wi-Fi habituel à des invités à la maison. Les dispositifs de maison intelligente comportent plus de risques que la simple divulgation des flux vidéo entre de mauvaises mains. Limitez les autorisations de vos applications de maison intelligente au strict minimum, suggère OConnor. Par exemple, restreignez l’accès aux services de localisation. L’utilisation de caméras intelligentes connectées au cloud comportera toujours un certain niveau de risque. Cependant, en utilisant les meilleures pratiques comme les mots de passe forts et un réseau Wi-Fi séparé, on peut réduire les chances que vos images finissent devant des yeux indésirables. Tout appareil connecté au cloud comporte des risques potentiels en matière de confidentialité, y compris les caméras intelligentes. Alors que les meilleures pratiques comme les mots de passe forts, un réseau Wi-Fi séparé et l’authentification à deux facteurs aideront à prévenir de nombreux types de piratages, aucune caméra intelligente n’est totalement immunisée. Pour cette raison, les caméras intelligentes ne doivent jamais être placées dans des pièces privées. Certaines études ont révélé des failles potentielles qui empêcheraient un utilisateur de se rendre compte que ses données ont été compromises. Une étude de 2021 de l’Institut de Technologie de Floride a examiné 20 dispositifs de maison intelligente populaires et a trouvé des vulnérabilités de sécurité pouvant dissimuler les utilisateurs. L’étude a également révélé que des pirates pourraient altérer les journaux d’événements sans que le propriétaire le sache.
« Opération de surveillance massive à l’intérieur de la Chine »
La femme se souvient de la première fois qu’elle a eu un smartphone. C’était en 2011, alors qu’elle vivait à
