Les médias rapportent que Wyze était au courant depuis trois ans d'une faille de sécurité qui rendait ses caméras de sécurité vulnérables aux pirates. Mais pendant tout ce temps, il n'a pas informé ses clients du problème.
La nouvelle de la faille est tombée mardi. Wyze, connu depuis longtemps pour ses caméras de sécurité peu coûteuses mais utiles, a depuis répondu à la controverse, comme indiqué ci-dessous.
Wyze était au courant de la vulnérabilité des caméras aux pirates depuis 3 ans
Mardi, la société de cybersécurité Bitdefender a publié un article de blog et papier blanc détaillant le problème de sécurité. La faille aurait permis à un pirate informatique d'obtenir un accès à distance non authentifié au contenu de la carte SD d'une caméra Wyze V1. Ainsi, un intrus pourrait voir et potentiellement télécharger la vidéo qui y est stockée.
Pire encore, l'article de Bitdefender montre que Wyze a appris la vulnérabilité de sa caméra V1 en mars 2019. Bitdefender a également révélé deux autres vulnérabilités non divulguées de la caméra Wyze qui ont été corrigées en septembre 2019 et novembre 2020.
La réponse de Wyze
En réponse à la vulnérabilité récemment publiée mais de longue date, Wyze a publié un article de blog. En partie, il a déclaré que pour que les pirates exploitent la faille de sécurité, ils devraient compromettre le réseau local de l'utilisateur ou accéder via l'Internet ouvert. Comme l'a dit l'entreprise :
Nous aimerions tout d'abord informer nos utilisateurs que ces vulnérabilités nécessitaient une certaine forme d'accès au réseau local. Ainsi, vous auriez dû exposer votre réseau local directement au mauvais acteur ou à Internet dans son ensemble pour ces vulnérabilités soient exploitables à distance (rassurez-vous, vous ne devriez pas et n'avez probablement pas une configuration comme ce).
Cela suggère une probabilité relativement faible qu'un pirate informatique accède à une caméra Wyze. Et, si vous avez mis à jour le micrologiciel de vos caméras V2 ou V3, la vulnérabilité est désormais corrigée, depuis la mise à jour du 29 janvier. Mais les caméras V1, que Wyze a cessé de prendre en charge en février, restent à risque. Wyze y a fait référence :
Malheureusement, malgré des efforts considérables jusqu'en 2022, nous avons constaté que la Wyze Cam v1 (vendue pour la dernière fois en mars 2018) ne pouvait pas prendre en charge les mises à jour de sécurité nécessaires. La mémoire limitée de l'appareil photo qui nous a incités à créer Wyze Cam v2 a directement empêché de corriger ces problèmes sur ce produit.
Mais aucune divulgation pour 3 années?
Mais le fait demeure que l'entreprise n'a pas divulgué les vulnérabilités aux clients pendant trois ans. Il n'est pas rare que les entreprises hésitent avant de révéler une faille pendant des semaines. C'est des semaines, pas années. Et Wyze a également commenté cela:
Vous vous demandez peut-être: « Pourquoi est-ce que j'en entends parler maintenant? » Bitdefender et Wyze prennent tous deux au sérieux la sécurité des utilisateurs concernés. Sachant que nous travaillions activement sur l'atténuation des risques et les mises à jour correctives, nous sommes arrivés à la conclure ensemble qu'il était plus sûr d'être prudent sur les détails jusqu'à ce que les vulnérabilités soient fixé.
Compte tenu de l'utilisation fréquente à domicile de caméras de sécurité comme celles fabriquées par Wyze, les ramifications de la faille de sécurité et le fait de ne pas la divulguer semblent graves, tant pour la confidentialité que pour la sécurité personnelle. Si vous êtes un client, feriez-vous confiance à Wyze pour l'avenir? Faites-le nous savoir dans les commentaires ci-dessous.
