La sécurité de l’Internet des objets reste au mieux floue
Dans le contexte: Les appareils Internet des objets (IoT) ont souvent été scrutés pour être sujets à des failles de sécurité. De nombreux rapports ont expliqué à quel point les caméras intelligentes, les sonnettes, etc. sont relativement faciles à pirater. Il semble que les choses n’aient pas beaucoup changé ces dernières années.
Un nouveau développement met désormais directement en lumière le fabricant d’appareils réseau Ubiquiti après que la société a admis qu’une mauvaise configuration de son infrastructure cloud avait permis à certains de ses clients de regarder des images de caméras de sécurité d’étrangers.
Cette admission est intervenue quelques jours après que certains clients d’Ubiquiti ont déclaré avoir vu des images et des vidéos provenant des caméras d’autres personnes via l’application cloud Unifi Protect de l’entreprise. L’une des premières personnes à signaler le bug était un utilisateur de Reddit, affirmant que sa femme avait reçu une notification contenant une image d’une caméra de sécurité qui ne lui appartenait pas.
Un autre Redditor a signalé quelque chose d’encore plus alarmant. L’affiche affirmait avoir accédé au portail officiel du gestionnaire de périphériques Unifi et s’être connecté au compte de quelqu’un d’autre malgré la saisie de ses propres informations d’identification Unifi. L’utilisateur a affirmé avoir vu des images de l’UDM Pro d’un autre client et pouvait naviguer sur l’appareil et afficher ou modifier les paramètres.
Un client d’Ubiquiti sur le forum de l’entreprise a affirmé avoir accédé à « 88 consoles depuis un autre compte » lors de sa connexion au portail Unifi. L’utilisateur avait un accès complet à ces appareils jusqu’à l’actualisation de son navigateur. Après cela, le client est revenu à la normale, seuls les appareils possédés étant affichés.
Après un tollé massif de la part des clients, Ubiquiti a corrigé le bug. La semaine dernière, Ubiquiti a publié une déclaration admettant que dans « un petit nombre de cas », les utilisateurs recevaient des notifications de consoles inconnues ou accédaient à des consoles qui ne leur appartenaient pas.
La société affirme que le problème est dû à une mise à niveau de l’infrastructure UniFi Cloud d’Ubiquiti, qu’elle a depuis résolue. Ainsi, les clients ne devraient plus s’inquiéter du fait que leurs autres utilisateurs accèdent à leurs caméras et à leurs comptes UniFi. Alors que la société a affirmé que le problème avait affecté 1 216 comptes dans un groupe et 1 177 dans un autre, moins d’une douzaine de cas d’accès inapproprié se seraient produits. Il a ajouté qu’il informerait ces clients de la violation.
