La divulgation de Mozilla intervient quelques jours seulement après que Ring a conclu un accord de 5,8 millions de dollars avec la FTC pour d’autres problèmes de protection de la vie privée

(SAN FRANCISCO, CALIFORNIE | MARDI 6 JUIN 2023) — Aujourd’hui, Mozilla signale une faille de sécurité au sein de la sonnette vidéo sans fil Ring Doorbell d’Amazon. Mozilla a fait part à Amazon de cette vulnérabilité il y a plus de 90 jours, mais Amazon n’a toujours pas corrigé le problème. Désormais, conformément aux normes de l’industrie, Mozilla partage ses conclusions publiquement pour alerter les utilisateurs et utilisatrices de sonnettes Ring et pousser Amazon à agir.

À la suite d’un test d’intrusion de la sonnette Ring effectué entre octobre et novembre 2022, Mozilla, en collaboration avec Cure53, a déterminé que l’appareil est vulnérable aux attaques par désauthentification Wi-Fi. Des personnes mal intentionnées peuvent tirer parti de ces failles pour déconnecter l’appareil d’Internet à l’aide d’outils faciles d’accès.

Par conséquent, ces personnes mal intentionnées pourraient mettre la sonnette hors ligne et faire en sorte que leurs agissements ne soient pas enregistrés, ce qui irait à l’encontre de l’objectif principal du produit. Même après la reconnexion de la sonnette à Internet, l’utilisateur ou l’utilisatrice ne recevra aucune alerte concernant l’attaque.

La divulgation de Mozilla survient quelques jours seulement après l’accord de 5,8 millions de dollars de Ring avec la Federal Trade Commission (FTC) pour de graves problèmes de confidentialité et de sécurité. La FTC a découvert que « le piètre respect de la vie privée et le laxisme en matière de sécurité de Ring permettaient aux employé·e·s d’espionner les client·e·s via leurs caméras, y compris celles qui se trouvent dans la chambre ou la salle de bain, et rendaient les vidéos des client·e·s, y compris les vidéos d’enfants, vulnérables aux attaques en ligne. »

Selon Ashley Boyd, vice-présidente du plaidoyer international chez Mozilla : « Plus de 10 millions d’Américains possèdent une sonnette Ring. Cette popularité implique de véritables responsabilités, comme celle de garantir une sécurité forte et de corriger rapidement toute vulnérabilité. Nous sommes préoccupés par le fait qu’Amazon n’a pas pris de mesures sur la base des résultats de nos recherches qui ont recours à des méthodes standardisées dans l’industrie. Et comme toujours, nous encourageons les consommateurs et consommatrices à privilégier la confidentialité et la sécurité lorsqu’ils ou elles achètent des objets connectés. »

Plus de 10 millions d’Américains possèdent une sonnette Ring. Cette popularité implique de véritables responsabilités, comme celle de garantir une sécurité forte et de corriger rapidement toute vulnérabilité.

Ashley Boyd, vice-présidente du plaidoyer international, Mozilla

Selon Misha Rykov, chercheur associé chez Mozilla : « Mozilla a signalé la vulnérabilité de Ring (et ses solutions) à Amazon, mais aucune mesure n’a été prise pour la corriger. C’est pourquoi Mozilla s’exprime à ce sujet. Les consommateurs et consommatrices méritent d’être informé·e·s des vulnérabilités des produits qu’ils et elles utilisent, en particulier ceux qui sont destinés à protéger leur domicile. »

Pour effectuer le test d’intrusion, Mozilla et Cure53 se sont uniquement appuyés sur des documents en ligne accessibles au public et sur le produit lui-même. Nous avons également effectué une batterie d’autres tests sur le chiffrement, les mises à jour de sécurité et les mots de passe. Bien que nous n’ayons trouvé aucune vulnérabilité à fort impact au-delà de celle-ci, Mozilla critique depuis longtemps les pratiques de confidentialité de la sonnette de Ring, ses collaborations avec les forces de l’ordre et ses effets néfastes sur les communautés déjà fortement surveillées.

En plus d’identifier cette vulnérabilité, Mozilla et Cure53 ont également partagé des suggestions de corrections avec Amazon. En particulier :

  • L’amélioration de la sécurité de l’appareil en supprimant les possibilités d’attaques par désauthentification Wi-Fi. Plus précisément, cela peut être réalisé en prenant en charge des normes Wi-Fi telles que 802.11w et WPA334. (Cette protection ne sera effective que si l’appareil et le point d’accès (PA) prennent en charge ces normes.)
  • Autre possibilité, l’appareil pourrait intégrer un mécanisme de secours. À cet égard, une solution efficace serait d’ignorer les trames de désauthentification lorsque leur fréquence semble inhabituelle.
  • Enfin, l’appareil pourrait stocker la date et l’heure des alertes hors ligne, puis en informer l’utilisateur ou l’utilisatrice lorsque l’appareil sera à nouveau en ligne.

Ce test d’intrusion s’inscrit dans le cadre de l’initiative *Confidentialité non incluse de Mozilla, un guide d’achat qui aide les consommateurs et consommatrices à faire des achats malins (et sûrs) de produits qui se connectent à Internet. Au cours des six dernières années, *Confidentialité non incluse a passé en revue plus de 100 applications et 300 appareils connectés.

Contacts presse :

Kevin Zawacki | [email protected] | +1 (914) 837-4333