Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Amazon Ring : lors de la configuration, le mot de passe Wi-Fi transitait en clair sur le réseau

Le pot aux roses a été découvert par Bitdefender en juin 2019. Après un échange avec les équipes d'Amazon, un correctif a été déployé début septembre. Les détails viennent seulement d'être dévoilés.

Le principe est on ne peut plus simple : lors de la configuration de la sonnette, le smartphone envoie le mot de passe Wi-Fi pour qu'elle puisse se connecter au réseau. Problème, la communication passe par du HTTP classique, sans aucun chiffrement.

Bref, durant cette phase le mot de passe était envoyé en clair, laissant d'éventuelles oreilles indiscrètes le récupérer. Des informations techniques sont disponibles par ici.

4 commentaires
Avatar de vampire7 INpactien
Avatar de vampire7vampire7- 08/11/19 à 12:53:32

Amazon n'avait pas les moyens de payer un développeur une journée de plus pour qu'il finisse de mettre ça au propre... :roll:

Avatar de Ricard INpactien
Avatar de RicardRicard- 08/11/19 à 17:01:56

Un certificat Let's Encrypt, ça coûte trop cher pour Amazon.:craint:

Avatar de TheKillerOfComputer Abonné
Avatar de TheKillerOfComputerTheKillerOfComputer- 08/11/19 à 19:02:34

D'un autre côté, le risque est assez limité.

Il faudrait surveiller la cible au moment précis où la sonnette est installée (ou le code modifié) pour obtenir le code. Statistiquement c'est assez tendu, sauf à être suivi de près par un ennemi mortel ou la DRI et là je crois qu'installer une sonnette connecté n'est pas la priorité du moment pour la personne concernée :transpi:

Après ça n'excuse rien, ça montre que certains réflexes ne sont pas encore acquis côté développeurs/ingénieurs...

Avatar de quicky_2000 INpactien
Avatar de quicky_2000quicky_2000- 12/11/19 à 17:13:22

TheKillerOfComputer a écrit :

D'un autre côté, le risque est assez limité.

Il faudrait surveiller la cible au moment précis où la sonnette est installée (ou le code modifié) pour obtenir le code. Statistiquement c'est assez tendu, sauf à être suivi de près par un ennemi mortel ou la DRI et là je crois qu'installer une sonnette connecté n'est pas la priorité du moment pour la personne concernée :transpi:

Après ça n'excuse rien, ça montre que certains réflexes ne sont pas encore acquis côté développeurs/ingénieurs...

Non en fait si tu la bombardais d un certain type de requete ca entrainait une reinitialisation du mot de passe donc si c est toi qui en est a l origine tu as deja en place a attendre la modif par l utilisateur

Il n'est plus possible de commenter cette actualité.