Près d'un an après que l'EFF a fait appel à la société de sonnettes de surveillance d'Amazon Ring pour crypter les images de bout en bout, il semble qu'ils commencent à apporter ce changement nécessaire. Cet appel était une réponse à un certain nombre d'incidents problématiques et potentiellement dangereux, notamment des préoccupations plus importantes concernant la sécurité de Ring et des rapports selon lesquels des employés ont été licenciés pour avoir regardé les vidéos des clients. Maintenant, Ring prend enfin une mesure nécessaire: s'assurer que la transmission des images de votre caméra Ring à votre téléphone ne peut pas être vue par d'autres personnes, y compris pendant que ces images sont stockées sur le cloud d'Amazon.
Ring devrait prendre les mesures nécessaires pour faire de cette fonctionnalité la fonctionnalité par défaut, mais pour le moment, vous devrez toujours activer le cryptage .
Vous pouvez en savoir plus sur l'implémentation par Ring du chiffrement de bout en bout dans le livre blanc de Ring .
Comment l'activer
Amazon déploie actuellement la fonctionnalité, il se peut donc qu'elle ne soit pas encore disponible. Lorsqu'il est disponible pour votre appareil, vous pouvez suivre les instructions de Ring . Assurez-vous de noter la phrase secrète dans un emplacement sécurisé tel qu'un gestionnaire de mots de passe, car il est nécessaire d'autoriser des appareils mobiles supplémentaires à visionner la vidéo. Un gestionnaire de mots de passe est un logiciel qui crypte une base de données de vos mots de passe, questions de sécurité et autres informations sensibles, et est protégé par un mot de passe principal. Quelques exemples sont LastPass et 1Password.
Comment ça fonctionne
Les vidéos prises par l'appareil Ring pour une diffusion en continu ou une visualisation ultérieure sont cryptées de bout en bout de sorte que seuls les appareils mobiles que vous autorisez peuvent les visualiser. Comme le prétend Amazon lui-même , «[avec] la vidéo E2EE, seul votre appareil mobile inscrit dispose de la clé spéciale nécessaire pour déverrouiller ces vidéos, conçue pour que personne d'autre ne puisse voir vos vidéos – pas même Ring ou Amazon.»
Le livre blanc sur la sécurité donne des détails sur la façon dont cela est mis en œuvre. Votre appareil mobile génère localement une phrase secrète et plusieurs paires de clés, qui sont stockées localement ou cryptées sur le cloud de manière à ce que la phrase secrète soit nécessaire pour la déchiffrer. Ceci est utile pour inscrire des appareils mobiles supplémentaires. L'appareil Ring établit ensuite une connexion Wi-Fi locale à laquelle l'appareil mobile se connecte. Les informations de clé publique de l'appareil mobile inscrit sont envoyées via cette connexion, puis utilisées pour crypter les vidéos avant de les envoyer sur Internet.
Pour briser le système, quelqu'un devrait avoir accès au réseau local temporaire que vous avez créé pendant la configuration initiale, ou vous devez approuver leur ajout en tant qu'utilisateur autorisé en entrant la phrase de passe lors de la configuration d'un appareil mobile supplémentaire.
Tant que la mise en œuvre dans le logiciel correspond aux spécifications du livre blanc et que les images ne sont pas déposées d'une autre manière, nous avons de grands espoirs pour le schéma de cryptage conçu par Ring. Cela peut être proche de la mise en œuvre des meilleures pratiques de ce type de technologie.
Ce que cela signifie pour la confidentialité
La relation de Ring avec les forces de l'ordre est depuis longtemps une préoccupation pour l'EFF. Ring a maintenant plus d'un millier de partenariats avec des services de police à travers le pays qui permettent aux forces de l'ordre de demander, en un seul clic, des images des utilisateurs de Ring. Lorsque la police enquête sur un crime, elle peut cliquer et faire glisser sur une carte dans le portail de la police et générer automatiquement un e-mail de demande de séquences de chaque utilisateur de Ring dans cette zone désignée.
Ce qui se passe lorsque les utilisateurs de Ring refusent de partager ces images, sans cryptage de bout en bout, a été une préoccupation majeure. Même si un utilisateur refuse de partager ses images, la police peut toujours demander à Amazon de les obtenir. Cela signifie que la vidéo et l'audio des utilisateurs pourraient finir par contribuer aux enquêtes qu'ils souhaiteraient ne pas avoir facilitées – comme les affaires d'immigration ou permettre à la police d'espionner les manifestations – même sans que les utilisateurs ne sachent que cela s'est produit .
Cet accès est rendu possible car les images Ring sont stockées par Amazon sur des serveurs Amazon. Le modèle de chiffrement de bout en bout décrit dans le livre blanc de Ring devrait couper cet accès. Si vos images sur les serveurs d'Amazon sont cryptées et que seul votre téléphone a les clés, la police devrait vous présenter un mandat directement pour vos images, plutôt que de passer derrière votre dos et de laisser Amazon partager la vidéo. Contrairement à ce que les responsables de l'application des lois peuvent prétendre, par conséquent, le cryptage de bout en bout ne mettra pas ces vidéos complètement hors de portée de leurs enquêtes.
Questions sans réponse
Une question qui reste sans réponse est de savoir si le cryptage de Ring bloquera la possibilité pour d'autres entreprises de transmettre des images en direct des caméras Ring à la police. En novembre 2020, les médias locaux ont rapporté que Jackson, dans le Mississippi, lancerait un programme pilote avec l'aide d'une société appelée PILEUM / Fusus qui permettrait à la police de diffuser en direct des images des caméras de sécurité de participants consentants. Bien que les registres de caméras et l'accès partagé aux caméras de sécurité ne soient pas nouveaux, ce qui était particulièrement troublant à ce sujet était l'insistance pour que ce programme permette aux personnes disposant de dispositifs de sécurité à domicile en réseau, y compris les caméras Ring, de transmettre également leurs images en direct directement à la surveillance de la police locale. centres.
Ring a contacté un certain nombre d'organisations, dont le FEP, pour réaffirmer qu'elles ne sont en aucun cas impliquées dans ce programme pilote. La technologie Fusus fonctionnerait en installant un «noyau Fusus» sur votre réseau local, qui peut prétendument trouver et transmettre toutes les séquences en direct sur votre réseau, y compris les caméras Ring.
Ces modifications apportées à Ring soulèvent la question de savoir si l'activation de la nouvelle fonctionnalité de cryptage de bout en bout de Ring compromettra la capacité de Fusus à transmettre des images. On ne sait pas pourquoi quiconque accepterait de participer à un programme pilote similaire et d'installer un noyau Fusus, puis de saper cette décision en optant pour le cryptage Ring. Mais ce scénario nous laisse encore nous demander quels sont les projets actuels et futurs des forces de l'ordre pour obtenir des images Ring qui saperont l'utilisation du cryptage de bout en bout.
Conclusion
Il peut sembler que l'EFF consacre beaucoup d'efforts à lutter contre Ring et d'autres dispositifs de sécurité pour la maison connectée à Internet – mais nous le faisons pour une bonne raison. Les services de police qui ne pourraient légalement pas construire et utiliser un réseau de surveillance gouvernemental à grande échelle utilisent les caméras Ring comme une échappatoire pour éviter la participation et la responsabilité du public. Le choix des consommateurs d'acheter un appareil photo ne peut et ne doit pas être un moyen de blanchir la surveillance de masse et de rationaliser le profilage racial numérique.
À la suite des reportages d'enquête et de la sensibilisation du public, Ring a fait un certain nombre de concessions. Ils ont renforcé les mesures de sécurité , abandonné les traqueurs tiers non divulgués et ont même permis aux gens de refuser de recevoir des demandes de séquences par la police. C'étaient toutes de bonnes mesures, mais elles n'ont toutes rien fait pour empêcher la police de présenter un mandat à Amazon afin d'utiliser vos images comme preuve sans votre permission ou même sans votre connaissance directe. L'un des points faibles de Ring en matière de sécurité et de confidentialité a toujours été de stocker vos images pour vous. Avec le cryptage de bout en bout activé, une protection contre les demandes générales de métrage du cloud est introduite. Cela signifie que les utilisateurs ont la possibilité de décider quand et si partager leurs images, d'une manière qu'Amazon ou Ring ne peuvent pas facilement contourner. Cela signifie également que les demandes de séquences par les forces de l'ordre doivent être transmises directement au propriétaire de la caméra, comme elles le faisaient avant l'avènement du stockage en nuage.
Nous espérons que Ring prendra les devants pour faire de cette fonctionnalité la fonctionnalité par défaut. Avec ces garanties en place, nous pouvons maintenant passer à d'autres préoccupations, comme une réglementation plus fédérale, mettant fin aux recherches par consentement afin que la police soit tenue d'obtenir un mandat chaque fois qu'elle veut vos images, empêchant la police locale de partager vos images avec d'autres agences. pour des raisons indépendantes, et trouver des garanties qui empêchent l'utilisation de la technologie comme un pipeline pour envoyer directement à la police des «soupçons» à caractère raciste.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2021/02/amazon-rings-end-end-encryption-what-it-means le Tue, 02 Feb 2021 18:48:54 +0000.