Une partie de sonnettes – cinq visiophones soumis au test de sécurité

Outre les aspects de sécurité vantés par les fabricants, de tels visiophones ont bien entendu une utilité pratique. Contrairement aux interphones traditionnels, certains appareils disposent de fonctions de communication très sophistiquées. Via une application, sous réserve d’une connexion Internet rapide, on peut parler pratiquement sans décalage avec les visiteurs ou ceux-ci peuvent laisser eux-mêmes un message vocal pour les habitants. Pour les livreurs, les sonnettes intelligentes proposent des messages prédéfinis comme « Veuillez déposer le paquet devant la porte » que l’on peut transmettre en appuyant sur un bouton. L’un des produits testés propose en plus une fonction reconnaissance de paquet. Lorsque des commandes sont livrées et déposées dans la zone de détection de la caméra, les utilisateurs, du moins aux États-Unis, reçoivent un avis. Et combinée à une serrure intelligente, la porte d’entrée s’ouvre automatiquement pour les membres de la famille, les ouvriers et les livreurs. Un paquet commandé attend alors en toute sécurité dans l’entrée plutôt que chez le voisin ou devant la porte – à condition d’avoir confiance bien sûr.

En raison des vastes possibilités de contrôle des visiophones, les utilisateurs doivent cependant avoir confiance dans la sécurité des produits ainsi que dans leurs fabricants. En effet, un visiophone activé en permanence avec stockage de données enregistre bien entendu non seulement les visiteurs, mais également les habitants de la maison eux-mêmes. Les ingénieurs d’AV-TEST ont vérifié dans les domaines de la communication locale et externe si cette confiance était justifiée dès lors qu’il s’agit d’enregistrer, de transmettre et de stocker les données recueillies. Ils ont également testé la sécurité des applications et des services en ligne connectés avec les portiers vidéo ainsi que le traitement des données par le fabricant. 

Communication locale : données assez ouvertes chez DoorBird

Les attaques sur la communication locale permettent d’intercepter des données, c’est-à-dire dans le cas des visiophones, l’espionnage de films et de vidéos ou l’accès aux paramètres de l’appareil. Ceci est possible par ex. par le biais de smartphones infectés ou manipulés par des maliciels qui communiquent dans le réseau local avec le visiophone via Bluetooth ou le WiFi. Trois des appareils testés – à savoir ceux de Nest, Ring et Somikon – mettent les utilisateurs à l’abri de ce genre de scénarios d’attaque, car ils ne communiquent pas au sein du réseau local. Seul l’Audio Doorbell d’Arlo ainsi que le modèle D2101V de DoorBird communiquent dans le réseau local. Tandis qu’Arlo a pratiquement tout bon en ce qui concerne l’échange de données – seuls des domaines avec résolution via serveur DNS ont été faciles à suivre, ce qui est superflu, mais sans conséquences –, la communication de DoorBird s’est révélée vulnérable. En effet, le modèle D2101V diffuse non seulement des données non cryptées et facilement accessibles dans le réseau local, mais également des noms d’utilisateurs et des mots de passe. Cela signifie que les attaquants qui ont accès au réseau local ont également libre accès aux fichiers photo et vidéo ainsi qu’à la commande du portier vidéo. Ainsi, les attaquants ont par exemple la possibilité de s’octroyer un accès à distance à la caméra pour espionner les habitants.

Communication externe : fichiers photo et vidéo non cryptés sur Internet

Toutefois, un danger bien plus grand émane d’une communication en ligne mal protégée. Par le biais d’accès à Internet mal protégés, on peut réaliser les scénarios d’attaque les plus divers : depuis l’écoute, l’espionnage et la manipulation jusqu’à la localisation de caméras. Des sites Internet tels que Insecam.org ou Shodan.io montrent quelles possibilités certains points faibles offrent à des attaquants anonymes à distance. Comme les fabricants de produits IoT doivent connaître ces scénarios d’attaque depuis longtemps, on pourrait s’attendre à ce que tous les prestataires aient appris leur leçon et amélioré ce point critique pour la sécurité de leurs clients. Ceci vaut notamment pour des produits tels que les visiophones censés, selon la publicité, améliorer la sécurité de leurs utilisateurs. De plus, en enregistrant des images, des vidéos, des fichiers sonores, des profils de mouvements et des données biométriques, ces appareils recueillent des informations particulièrement sensibles et qui méritent d’être protégées. Et ils collectent les données non seulement sur les acheteurs et les habitants, mais également sur toute personne entrant dans la zone de détection de l’appareil.

Dans le laboratoire d’AV-TEST, seuls trois produits sur cinq étaient équipés contre les failles de sécurité connues lors des tests rapides effectués : les visiophones des fabricants Arlo, Nest et Ring présentent un comportement de défense efficace. Des attaques standardisées sur des données de connexion de services en nuage connectés ont été neutralisées grâce à des mécanismes de protection suffisants contre des attaques telles que celles de l’homme du milieu (MITM). Des processus et fonctions d’authentification judicieux tels que le refus de mots de passe triviaux, le blocage de connexion en cas d’essai infructueux ainsi que l’utilisation d’une authentification à deux facteurs ont paré une grande partie des attaques effectuées en laboratoire. Tous ces trois produits utilisent en plus pour l’échange de données entre le portier vidéo et l’application une technique de cryptage considérée actuellement comme suffisamment sûre. De même, les mises à jour des produits s’effectuent via des connexions cryptées et n’ont pas été faciles à berner avec des fichiers manipulés.

Avec DoorBird et Somikon, les attaquants ont beau jeu

Il en va tout autrement des produits des fabricants DoorBird et Somikon. Certes, les deux fabricants cryptent au moins l’accès aux comptes en ligne connectés. Mais chez DoorBird, le transfert de vidéo et de son entre l’appareil et la connexion en nuage ainsi qu’entre le nuage et l’appli n’est pas entièrement crypté. Par conséquent, les attaquants ont la possibilité d’intercepter le flux de données non crypté. Excepté ces failles de sécurité évidentes, il manque au D2101V de DoorBird des fonctions de sécurité utiles telles que l’authentification à deux facteurs.

Le comportement de défense en ligne du portier vidéo nommé WLAN-HD-Video-Türklingel n'est que légèrement meilleur. Le visiophone de Somikon transmet lui aussi des données en partie non cryptées, facilitant ainsi le travail aux attaquants. Le portier vidéo diffuse de manière non sécurisée non seulement des captures d’écran de prévisualisations, mais également des données d’utilisateurs et des informations sur le smartphone employé. Ici encore, l’appareil est dépourvu de fonctions utiles telles que l’authentification à deux facteurs, le verrouillage de connexion en cas de tentatives de connexion infructueuses ainsi que la sécurisation des mises à jour. Les deux produits offrent aux attaquants beaucoup trop de surface d’exposition pour être recommandés.

Les applis sont-elles sûres ?

Dans le test de sécurité des applications correspondantes, DoorBird a fait meilleure figure et s’est montré mieux armé contre les attaques. Les applications de Nest et de Ring ont également convaincu les testeurs. Les ingénieurs IoT ont trouvé sur l’appli Arlo des points faibles potentiels introduits par des modules de programmes de prestataires tiers, mais faciles à éliminer. En revanche, les programmeurs de Somikon auront plus de travail. L’application archive des données non cryptées sur les smartphones de test, dont des captures d’écran. De plus, l’application contient une quantité considérable de codes tiers et de modules de suivi qui collectent de nombreuses données d’utilisateurs. Ainsi, l’appli sur le smartphone collecte par exemple des informations sur les applications installées et les transmet ensuite au fabricant chinois.

Des doutes quant à la protection de la sphère privée et des données

En ce qui concerne les caméras, surtout lorsqu’elles sont installées hors de la maison, la protection des données propres n’est pas le seul point important. En effet, des personnes qui ne peuvent pas s’opposer à l’enregistrement visuel avant d’entrer dans la zone de détection de la caméra, arrivent elles aussi dans le champ de vision des appareils. Des règlements différents nationaux sont applicables dans les différents pays pour ce type de collecte de données. C’est en Europe, en particulier en Allemagne, que l’enregistrement non sollicité ou l’enregistrement de personnes sans leur consentement explicite en vertu du Règlement général sur la protection des données (RGPD) de l'Union Européenne est probablement le plus complexe. On considère qu’un écriteau facilement reconnaissable avant de pénétrer dans la zone de détection de la caméra est le minimum absolu. De plus, les caméras devraient au mieux filmer le terrain privé, mais pas les voies d’accès publiques ni le terrain voisin. D’autres règles relatives à l’autorisation d’enregistrements par caméra ainsi qu’au traitement, au stockage et à l’effacement de données doivent également être respectées.

Ring : la police surveille aussi

Aux États-Unis en revanche, les règles juridiques sont nettement plus larges et Ring/Amazon les interprètent apparemment de manière très excessive. Selon diverses sources médiatiques, Ring aurait mis au moins 200 postes de police à contribution pour commercialiser ses visiophones, les postes de police auraient fait activement la publicité de ces caméras auprès des citoyens, les auraient proposées à prix réduit, voire offertes. En contrepartie, les postes de police auraient eu accès à des vidéos de surveillance réalisées par des caméras privées via l’application nommée « Neighbors » et bénéficié de la part du fabricant Ring par ex. d’un avoir pour la réception d’autres visiophones pour chaque téléchargement de l’appli.  Avec cette offre douteuse, les ventes de portiers vidéo de Ring/Amazon semblent avoir beaucoup de succès aux États-Unis, comme le montre la carte des postes de police participants) sur Google Maps. À chaque acheteur de décider s’il veut faire confiance à un fabricant qui traite les données de cette manière et qui est récemment tombé sous les feux de la critique pour avoir analysé les données de son assistant vocal ainsi que des caméras de surveillance.

Du moins en ce qui concerne la politique de confidentialité des visiophones testés, on ne peut rien reprocher à Ring. Le fabricant fournit des informations détaillées sur les nombreux modules de suivi contenus dans l’appli ainsi que sur les innombrables données que l’appli collecte sur les utilisateurs et transmet à Amazon. Nest, en tant que filiale de Google, donne également dans sa déclaration de confidentialité des informations extrêmement détaillées sur les données générées, collectées, analysées et transmises, comme on en a l’habitude avec Google. Toutefois, en raison des nombreux capteurs, notamment pour la reconnaissance faciale, il y a un besoin accru de clarification à cet égard. Ainsi, Google informe certes suffisamment sur les fonctions en question ainsi que sur le stockage et l’utilisation des données, mais se présente en même temps comme un simple « sous-traitant » et reporte donc toutes les obligations relatives à la protection des données sur l’acheteur et l’utilisateur. 

Dans sa politique de confidentialité, le fabricant Somikon s’octroie des droits étendus sur la collecte et l’utilisation des données, ce qui suscite clairement des doutes quant à leur compatibilité avec le RGPD. De fait, l’appli exige un accès étendu au smartphone et contient de très nombreux modules pour le transfert de données à des entreprises chinoises. Les règles de confidentialité de DoorBird se sont révélées nettement plus mauvaises : elles ne se réfèrent même pas au produit et à ses possibilités de collecte de données, mais portent exclusivement sur l’entreprise. L’entreprise est redevable à ses clients d’informations sur le type de collecte ainsi que sur l’utilisation et le stockage de données. Ceci ne correspond absolument pas à la situation juridique actuelle, ce que les testeurs ont sanctionné avec la note « insuffisant ». Il n’y a par contre rien à redire sur la déclaration de confidentialité d’Arlo.

Conclusion : trois appareils sur cinq sont recommandables

Le Doorbell d’Arlo combiné au set caméra « Ultra », le Hello de Nest et le Doorbell 2 de Ring sont les trois visiophones sur les cinq testés qui ont remporté la meilleure note du test de sécurité de l’institut AV-TEST. Les rapports actuels sur les insuffisances en matière de protection des données chez Amazon, entreprise mère de Ring, sont mentionnés ici par souci d’exhaustivité, mais ils ne font pas partie du test. Le visiophone WLAN-HD-Video-Türklingel de Somikon n’obtient qu’une étoile sur trois en raison de failles de sécurité dans la catégorie communication externe ainsi que de points faibles dans le contrôle de l’application et la protection des données. Il ne peut donc pas être recommandé. Pire encore, le modèle D2101V du fabricant DoorBird présente de lourdes failles de sécurité dans presque toutes les catégories testées et ne remporte par conséquent aucune des trois étoiles.