J'attends le bon moment pour passer en revue certaines anciennes caméras de sécurité intérieures depuis plusieurs mois. Il ne s'agit pas de la marque (Blink) ou des caméras (qui fonctionnent assez bien jusqu'à présent !). C'est qu'à chaque fois que je me préparais à écrire à leur sujet, des nouvelles comme la récente attaque du rançongiciel Ring ou le réseau non sécurisé d'Eufy émergeaient, et je lançais mes revues de caméras de sécurité sur la route.
Pourquoi? Parce que je suis devenu de plus en plus mal à l'aise de recommander n'importe quel caméra de sécurité lorsque savoir si le backend est sécurisé ou non est devenu quelque chose que seuls les chasseurs de primes et les clairvoyants pourraient vous dire en toute sécurité.
Lorsque j'évalue un produit, j'essaie d'être le plus pointilleux possible. Non pas parce que je veux donner une mauvaise critique, mais parce que c'est mon travail de passer outre les communiqués de presse idéalisés et les fiches techniques pour voir les fissures sous la surface.
Un examen positif des caméras de sécurité signifie que nous prenons sa sécurité interne au pied de la lettre, mais il est difficile de faire confiance à * n'importe quelle * entreprise de sécurité de nos jours.
Vous pouvez repérer quelques de ces problèmes avec une caméra de sécurité, comme si la qualité vidéo ou la détection de l'IA ne réussissait pas. Mais même avec le meilleures caméras possibles nous avons testé et aimé, il y a toujours le spectre d'une brèche inconnue qui se cache à l'horizon.
Ce n'est pas quelque chose que je (ou la plupart des journalistes techniques) suis qualifié pour détecter. Avec un smartphone, nous pouvons tester la plupart des logiciels et de la sécurité par nous-mêmes, et les utilisateurs ont un contrôle presque total pour bloquer ou permettre aux applications de les suivre. Avec une caméra de sécurité, toute cette sécurité des données est gérée à distance, et nous ne pouvons que croire l'entreprise sur parole qu'elle protège vos données en toute sécurité.
Le problème est que nous avons vraiment ne peut pas faites plus confiance à une entreprise de sécurité pour donner une évaluation honnête de sa cybersécurité - si jamais nous le pouvions.
Qu'elles soient spécialisées dans le matériel ou les logiciels, les entreprises comme Dernier passage ou Eufy ont tendance à cacher toutes les violations actives pendant des mois jusqu'à ce qu'elles soient rendues publiques, puis à minimiser la gravité avec des circonstances atténuantes et un jargon technique.
Même avec l'entreprise la plus sécurisée possible, il suffit d'une erreur de phishing ou de mauvaises protections chez un tiers affilié pour transformer votre caméra de sécurité en une passerelle permettant à quelqu'un d'accéder à vos flux domestiques sans que vous le sachiez.
Un flux incessant d'incidents troublants
Vice a signalé la semaine dernière qu'un fournisseur tiers associé à Ring avait été touché par le rançongiciel BlackCat; On a dit aux employés de Ring "ne discutez de rien à ce sujet", et nous ne pouvons pas encore être certains des données des utilisateurs en jeu si Amazon ne paie pas.
Avant ce dernier incident, le chercheur en sécurité Paul Moore a découvert que les caméras Eufy envoyaient les images des utilisateurs et les données de reconnaissance faciale au cloud à leur insu ou sans leur consentement, que vous pourriez diffuser n'importe quiLa caméra privée d'Eufy est alimentée par un navigateur Web et que le cryptage AES 128 d'Eufy a été facilement déchiffré car il utilisait des clés simples.
Eufy a répondu en corrigeant certains problèmes et en modifiant ses directives de confidentialité pour garantir moins protections pour ses utilisateurs, à quel point nous vous avons recommandé jetez vos caméras Eufy.
Par rapport à l'ampleur épique de la brèche dans la caméra de Verkada, au cours de laquelle 150 000 caméras étaient accessibles via un mot de passe principal, la plupart des failles connues du public avec des systèmes de sécurité domestiques bien connus étaient relativement mineures et se sont produites il y a plusieurs années. Mais il y a toujours lieu de s'inquiéter.
Dans certains cas, comme avec Wyze, ils ont caché une vulnérabilité majeure avec la Wyze Cam v1 pour trois ans jusqu'à ce que Bitdefender les expose. Même si "un attaquant extérieur [pourrait] accéder au flux de la caméra ou exécuter un code malveillant pour compromettre davantage l'appareil", Wyze s'est justifié en disant que le pirate aurait besoin d'accéder à votre Wi-Fi domestique, et il a corrigé le problème dans ses nouveaux appareils photo.
Avant l'incident du ransomware de Ring, il s'est retrouvé mêlé à des critiques lorsqu'une source a déclaré à The Intercept que les sous-traitants de Ring pouvaient regarder les images des clients avec rien d'autre qu'une adresse e-mail et que les dirigeants de Ring estimaient que le cryptage des images "rendrait l'entreprise moins précieuse".
Ring a finalement cédé et crypté ses caméras, mais il attire toujours de fréquentes critiques pour avoir donné des images de sonnette Ring à la police sans le consentement de l'utilisateur.
Un technicien d'ADT a accédé 9 600 fois aux flux domestiques sous prétexte de tester les systèmes pour espionner les clientes à leur insu, par Revue de sécurité. Brinks Home a accidentellement donné aux clients l'accès aux noms, adresses et numéros de téléphone d'autres utilisateurs, mais il a fallu des mois pour résoudre le problème après qu'un client les a avertis, rapporte Ventes de sécurité.
Je pourrais continuer, ou vous pourriez tout aussi facilement rechercher sur Google votre entreprise de sécurité préférée, ajouter "violation" à la fin et voir des histoires perturbantes.
Accepter l'inconnu
Mon point général est simple: même les sociétés de sécurité populaires avec un cryptage apparemment imprenable feront décisions qui laissent vos données privées ou vos flux personnels vulnérables - ou embauchez quelqu'un qui exploite son pouvoir dans manières inquiétantes. Et une fois que cette société le découvre, il n'y a absolument aucune garantie tu vas renseignez-vous à moins que quelqu'un ne dénonce ou qu'un expert en sécurité ne détecte son erreur.
Dans cet environnement, revoir allègrement n'importe quel caméra de sécurité de l'entreprise sur ses mérites et la recommander à mes lecteurs semble irresponsable. C'est mon emploi pour ce faire, et j'écrirai sur le Blink Indoor et le Blink Mini une fois qu'il sera clair comment sa société mère gère l'attaque du rançongiciel Ring.
Nous pouvons examiner les caméras de sécurité sur leurs mérites internes, mais nous ne pouvons pas examiner les facteurs externes qui pourraient saper tout ce qui est utile à leur sujet.
Mais ce faisant, je devrai inclure une grosse mise en garde que je ne sais tout simplement pas quel est le maillon le plus faible de Blink (ou de toute entreprise) - un employé sans scrupules, une équipe tierce peu fiable, un cryptage faible ou autre chose entièrement - cela pourrait saper tout ce qui est utile sur cet appareil que je suis recommander.
En attendant, je peux diriger les gens vers caméras de sécurité avec stockage local pour essayer d'éviter de garder vos images privées sur les serveurs de l'entreprise (et économiser sur les frais mensuels). Mais ce n'est pas toujours une garantie de sécurité; Par exemple, nous avions l'habitude de louer les caméras d'Eufy en tant qu'option de stockage local avant que ses nombreux problèmes ne soient révélés.