adwr

#SSI #RGPD
"1 million" de baby phone (audio et/ou vidéo) connectés aisément piratables. Ces babyphones sont en vente sous 378 marques (Leroy Merlin, Fnac, Cdiscount, Amazon...) :
https://www.clubic.com/actualite-603772-scandale-de-babyphones-video-un-chercheur-francais-decouvre-plus-d-un-million-appareils-totalement-exposes.html
La faille vient du backend auquel le babyphone se connecte pour transmettre les sons et images aux smartphones des parents : le courtier (pour le protocole IoT MQTT) n'a mis en place aucune protection (même pas de mot de passe)... 😱

La liste des marques concernées : https://drive.google.com/file/d/1tg_Piq13wNyH5niZe_WwuoeAOvZ0sgPR/view

Scandale de babyphones vidéo : un chercheur français découvre plus d'un million d'appareils totalement exposés

Un chercheur français a découvert une faille béante dans l'IoT de Meari : plus d'1,1 million de babyphones et caméras sont exposés, dont certains sont vendus sous marque par Leroy Merlin, Fnac, Cdiscount ou Amazon.

clubic.com
Mar 9 at 4:32pmWeb
Show threadMarion K ⏚Mar 9
@adwr 😱
Mais finalement c'est pas grave : les bébés n'ont rien à cacher !
Blague à part, les risques sont potentiellement très importants... les équipements domotiques sont quand même une vraie faille de sécurité, ce n'est pas le premier scandale sur ce type de matériel.
Show threadadwrMar 9

@marionkarle
Oui, et les parents n'ont plus : ils passent aussi dans la chambre de leurs bébés 😇

Le problème de fond est toujours le même avec chaque nouvelle technologie (comme avec les smartphones, les réseaux sociaux, puis les robots aspirateurs, ensuite les voitures connectées et maintenant les agents d'IA) : les fabricants/éditeurs foncent, sans se soucier de la sécurité ou de la vie privée.

Dans le meilleur des cas, ils s'en occuperont des années après... 😒

Show threadClément MoignardMar 9

@adwr
Ahurissant que les constructeurs puissent se sentir aussi peu responsables.

Et la liste des produits concernés a été déposée chez google qui, je le rappelle, a laissé fuiter les données de 2,5 milliards de comptes en 2025. Si j'avais un hébergement avec un bon débit, je me proposerais d'héberger cette liste ailleurs que chez un gafam.

#bonjourlafuite

Show threadLorrassouMar 10
@clement_moignard @adwr
Ahurissant aussi que les utilisateurs ne comprennent toujours pas le risque omniprésent de tous ces gadgets qui ne fonctionnent qu'en mode connecté.
Ils sont suffisament bien informés pour les acheter, alors l'ignorance ne peut ni ne doit être une excuse.
Show threadadwrMar 10

@laurross
Je pense que c'est plus nuancé : beaucoup de personnes, appelons-les "non-geeks" pour faire simple, ont déjà d'autres soucis et/ou la technologie ne les intéressent pas, ce qui peut se comprendre.

Ils ne voient que le côté "pratique" de ces gadgets, et ne comprennent tout simplement pas les risques, ou n'en ont pas conscience.

.../...

Show threadadwrMar 10

@laurross
.../...
Ce sont les éditeurs/fabricants qui devraient être contraints de sécuriser leurs gadgets, et c'est l'objectif de certaines lois de l'UE.

Le pb, c'est que les lois ne sont pas appliquées/respectées : les sanctions prévues ne sont que très rarement appliquées, or c'est de la responsabilité des pouvoirs publics et institutions désignées.

Par contre, pour les citoyens qui sont informés des risques, mais choisissent de les ignorer, c'est différent : eux n'ont pas d'excuses.

Show threadLorrassouMar 10
@adwr
Bien d'accord pour le gouffre législatif sur les nouvelles technos (sciemment entretenu), mais il faut partir d'un principe maintes fois mis en évidence, les failles existeront toujours et il y aura une malveillance pour les exploiter.
Tous ces gadgets, (néanmoins utiles)non pas besoin d'être connectés pour remplir leurs fonctions de base, et je considère que les ignorants ne sont qu'une infime partie des consommateurs, noyés dans un je m'enfoutisme généralisé.