L’article original a été publié sur Motherboard.
Un courtier immobilier a récemment fait le saut quand une voix l’a interpellé par l’intermédiaire de sa caméra de sécurité Nest.
Videos by VICE
Andy Gregg était dans sa cour arrière quand il a entendu la voix, qui appartenait à un homme qui s’est décrit comme un hackeur « chapeau blanc » du Canada, a-t-il raconté au quotidien Arizona Republic. Un chapeau blanc est un hackeur qui révèle des failles de sécurité pour le bien collectif, plutôt que pour son propre profit.
Andy Gregg a enregistré la conversation qui a suivi. Dans la vidéo, on entend une voix sortant du haut-parleur disant qu’il le contactait de la façon la plus troublante possible pour lui faire prendre conscience des risques que pose sa caméra connectée.
« Nous n’avons pas d’intentions malveillantes, mais je suis ici pour vous le dire, pour que personne d’autre, par exemple un hacker chapeau noir, fasse la même chose, dit la voix. Il y a tellement de choses malveillantes qu’on peut faire avec ça. »
Il est bon de savoir que ce piratage n’était pas très compliqué à effectuer, s’il a été fait comme il a été décrit.
Andy Gregg a raconté au journaliste que le hackeur l’avait informé que ses renseignements personnels étaient « compromis » et lui avait dit quel mot de passe il avait utilisé sur plusieurs sites web. Comme Gregg utilisait le même mot de passe pour sa caméra Nest, apparemment sans deuxième facteur d’authentification, il était facile pour quiconque possédant son mot de passe de se connecter à distance à la caméra.
Il y a eu de nombreuses failles de sécurité qui ont rendu publics des noms d’utilisateurs, des courriels, des mots de passe de millions de personnes, et les bases de données contenant ces renseignements sont achetées et vendues sur internet. Nest a transmis une déclaration écrite au Arizona Republic disant que la compagnie était au courant que des mots de passe piratés dans d’autres compagnies avaient été utilisés pour accéder à ses caméras.
Pour plus d’articles comme celui-ci, inscrivez-vous à notre infolettre.
Cet incident rappelle pourquoi il est important de prendre des moyens de base pour protéger ses comptes sur internet, comme un gestionnaire de mots de passe (pour avoir des mots de passe différents pour chaque compte) et le deuxième facteur d’authentification (pour que, même si on trouve votre mot de passe, on ne puisse pas facilement accéder à votre compte). Pour savoir comment ajouter un deuxième facteur d’authentification, consultez ce site, et sachez que les experts jugent que le SMS n’est plus un deuxième facteur sécuritaire. Utilisez plutôt une application comme Google Authenticator, DUO Mobile ou Authy.
De plus, vous pouvez facilement vérifier si des renseignements sur vous faisaient partie de fuites de données sur le site web Have I Been Pwned?. Vous n’avez besoin que de quelques minutes pour vous assurer que tous vos renseignements sont protégés. À moins que vous ayez des appareils connectés expressément pour vous faire un ami hackeur canadien, bien sûr.