Sans surprise, le système Amazon Key a déjà été piraté

Sans surprise, le système Amazon Key a déjà été piraté
Sans surprise, le système Amazon Key a déjà été piraté - © Tous droits réservés

Fin octobre, le géant de l’e-commerce dévoilait un nouveau système de livraison, permettant aux livreurs de rentrer chez le destinataire. À l’aide d’une serrure connectée et d’une caméra (la Cloud Cam), chaque colis peut en principe être déposé à l’intérieur, même si le client n’est pas présent.

Évidemment, ce genre d’idée semble destinée à être piratée. Et moins d’un mois après son lancement, c’est exactement ce qu’il s’est produit. Les chercheurs du Rhino Security Labs ont réussi à tromper le système, en déconnectant à distance le flux d’images envoyé par la caméra.

Concrètement, le livreur peut déverrouiller la serrure comme prévu, grâce à l’autorisation liée à chaque livraison et accordée par les serveurs d’Amazon. Une fois le colis déposé, le livreur sort quelques instants, le temps de déconnecter la caméra à l’aide d’un smartphone ou d’un PC portable. La Cloud Cam diffuse alors le même plan fixe, à savoir la porte fermée, laissant au livreur tout le loisir d’entrer à nouveau et de se servir comme il le souhaite sans être repéré.

La caméra ne prévient à aucun moment qu’elle a été déconnectée, car l’appareil servant à son piratage imite le routeur de la maison. La commande semble alors légitime puisqu’elle provient du même réseau internet. Mais la porte se refermant automatiquement après quelques secondes, le livreur/voleur doit alors sortir par une autre issue.

Selon Ben Caudill, du Rhino Security Labs, le fait de “pouvoir désactiver la camera à distance est une possibilité très dangereuse, surtout dans un système où elle joue un rôle de sécurité essentiel”. Du côté d’Amazon, la société a déclaré au site Wired qu’une attaque de ce genre était quasiment impossible. Chaque livreur doit passer des tests avant d’être engagé et chaque livraison est spécifiquement liée à un livreur. De plus, Amazon vérifie constamment si “le bon livreur est au bon endroit au bon moment”.

Toujours est-il qu’une faille est possible et que les utilisateurs doivent être au courant des risques. Amazon Key n’est pour l’instant disponible qu’aux États-Unis, mais si l’entreprise souhaite étendre son service, il va falloir convaincre les utilisateurs qu’aucune autre attaque de ce genre n’est possible. D’ici là, Amazon a promis de réparer la faille. Avant la prochaine tentative ?