Ring passe finalement au chiffrement de bout en bout

0

Le fabricant de sonnettes intelligentes Ring a répondu aux critiques de la communauté de la sécurité informatique avec l’introduction du chiffrement de bout en bout sur bon nombre de ses modèles. Les produits Ring, qui ont connu un grand succès auprès des consommateurs, ont fait face à un nombre important de critiques sévères de la part des experts en cybersécurité pour ce qu’ils disent être un manque d’attention à la sécurité de base.

Après une réponse très attendue aux critiques, Ring a déployé cette semaine un chiffrement de bout en bout pour bon nombre de ses produits de caméras de sécurité à domicile. Le chiffrement de bout en bout, selon la société américaine, peut être ajouté à moins de 50% de ses produits en cours d’utilisation. Les anciens modèles de sonnettes intelligentes, telles que les sonnettes vidéo de première et deuxième génération, ne peuvent pas être mis à niveau avec cette protection supplémentaire.

Ce changement était attendu, mais a été déployé plus tard que prévu.

ring

Les spécificités techniques de la société appartenant à Amazon ont été mises à disposition (PDF) dans le cadre d’un aperçu technique des nouvelles mesures de sécurité. Les plans de chiffrement de bout en bout de Ring ont été annoncés pour la première fois en Septembre 2020 et devaient initialement être introduits d’ici la fin de l’année 2020.

La fonctionnalité, qui sera facultative et gratuite pour les clients, permettra uniquement à l’appareil autorisé et inscrit avec le compte Ring associé d’accepter et d’accéder au flux vidéo Ring en direct. Si des tiers souhaitent afficher un enregistrement ou un flux sur un autre appareil, ils devront accéder à une clé de chiffrement stockée sur l’appareil mobile autorisé à afficher le flux.

On ne sait pas comment l’accès des forces de l’ordre aux flux de sonnette Ring pourrait être affecté.

Les critiques de Ring

La société a été critiquée pendant des années pour les failles du système qui rendaient vulnérables les données collectées par le système car elles pouvaient être dérobées par des individus malveillant. D’autres experts ont encore critiqué Ring pour ce qu’ils considéraient comme des pratiques douteuses de la société en matière de collecte de données.

L’année dernière, Amazon a corrigé une vulnérabilité dans la sonnette intelligente Ring qui aurait pu permettre aux attaquants d’accéder aux informations d’identification du réseau Wi-Fi du propriétaire et potentiellement reconfigurer l’appareil pour lancer une attaque sur le réseau domestique.

Quelques jours plus tard, cinq sénateurs américains ont demandé dans une lettre adressée au PDG d’Amazon, Jeff Bezos, qu’Amazon divulgue comment il sécurise les images des appareils Ring – et qui est autorisé à accéder à ces images.

En Octobre dernier, Ring a de nouveau mis en évidence des problèmes de confidentialité en dévoilant la nouvelle Always Home Cam, un drone de caméra de sécurité domestique intelligente qui vole autour des maisons en prenant des images de sécurité de personnes à l’intérieur de leur propre maison. En raison des pratiques de collecte de données déjà discutables d’Amazon, les défenseurs de la vie privée craignaient que les images ne tombent entre de mauvaises mains.

Mitigations de porte d’entrée

Ring a expliqué comment il répondrait spécifiquement à ces préoccupations. Ring ajoutera une couche supplémentaire de sécurité et de confidentialité en plus du chiffrement existant, qui par défaut chiffre les vidéos lorsqu’elles sont téléchargées sur le cloud et stockées sur les serveurs de Ring, a déclaré la société.

«Avec le chiffrement de bout en bout, les vidéos des clients sont davantage sécurisées avec un verrou supplémentaire, qui ne peut être déverrouillé que par une clé stockée sur l’appareil mobile inscrit du client, conçue pour que seul le client puisse déchiffrer et afficher les enregistrements sur son appareil inscrit », selon un article de blog de Ring sur le déploiement.

Ring a déclaré que le service donne aux utilisateurs «un contrôle et des choix supplémentaires pour chiffrer et déchiffrer leurs vidéos et qu’il est conçu pour qu’aucun tiers non autorisé ne puisse accéder au contenu vidéo des utilisateurs», selon un livre blanc de Ring publié en ligne sur le service.

ring

Les vidéos chiffrées lorsque la fonctionnalité est désactivée seront toujours chiffrées si l’utilisateur décide de désactiver le chiffrement de bout en bout, selon le livre blanc, qui fournit également des instructions étape par étape sur le fonctionnement de la fonctionnalité ainsi que des détails spécifiques sur quel type de chiffrement l’entreprise utilise.

Le chiffrement de bout en bout ajoute certainement une couche de confidentialité que de nombreux clients et défenseurs de la vie privée attendaient depuis longtemps de la part de Ring, qui depuis sa création a constamment repoussé les limites du niveau de confidentialité que les gens sont prêts à abandonner pour la protection de la sécurité de leur domicile.

Suivre l’exemple de Zoom

La décision d’ajouter un chiffrement de bout en bout à Ring est similaire à celle que le service de visioconférence en ligne Zoom a prise l’année dernière pour chiffrer les flux vidéo au milieu de problèmes de confidentialité et de nombreuses violations de sécurité du service, telles que les bombardements Zoom et les vulnérabilités zero-day. Zoom, cependant, a rendu la fonctionnalité disponible uniquement pour les utilisateurs payants du service.

Bien que la nouvelle fonctionnalité de Ring présente des avantages en matière de confidentialité et de sécurité, elle perturbera également certaines fonctionnalités existantes du service, telles que l’accès à la vidéo Ring via Alexa, et Echo Show ou Fire TV, ou le partage avec d’autres caméras.

Le chiffrement peut également mettre mal les plans controversés d’utilisation de l’application Ring’s Neighbours pour partager des séquences de données d’appareils Ring avec les forces de l’ordre. Lors de son lancement, le programme a interpellé les défenseurs de la vie privée comme l’Electronic Frontier Foundation, qui ont qualifié le lancement du programme de «confirmation» de leurs « plus grandes craintes ».

Cependant, comme la fonctionnalité est facultative et que les utilisateurs de Ring peuvent choisir de partager des clés de chiffrement avec des tiers, il sera toujours possible de diffuser la vidéo sur d’autres appareils et de partager des flux vidéo avec les forces de l’ordre si le propriétaire de l’appareil le souhaite.

Laisser un commentaire