La caméra Wyze présente une faille de sécurité

mathias

On s’attend à ce qu’un produit dont le titre contient le mot « sécurité » soit… sûr. Pourtant, c’est ainsi que Wyze s’est retrouvé dans l’eau chaude après qu’il a été déterminé qu’il était au courant d’une faille dans une caméra de sécurité et qu’il n’a rien fait pour la corriger pendant trois ans.

Défaut du SD des caméras de sécurité Wyze

Trois des caméras de sécurité Wyze – les V1, V2 et V3 – ont permis à des pirates d’accéder à des vidéos stockées. Pire encore, Wyze était apparemment au courant et n’a pas corrigé le problème ou ne l’a pas divulgué à ses clients pendant trois ans.

La société de cybersécurité Bitdefender a publié un article de blog et un livre blanc détaillant le problème. Cette faille aurait permis à un pirate d’avoir un accès à distance non authentifié au contenu de la carte SD de la caméra.

Faille de la caméra de sécurité Wyze Sd

Un pirate pourrait voir les vidéos stockées sur la caméra et même télécharger les séquences. Ces appareils protègent votre maison. Mais s’ils enregistrent des informations pour vous, ils les partagent potentiellement avec quiconque prend l’initiative de s’y introduire.

Particulièrement inquiétante, Bitdefender a découvert la faille de la caméra de sécurité Wyze en 2019. Pour mettre un repère dans le temps, c’est un an avant la pandémie. D’autres failles existaient également : une faille de contournement d’authentification et une vulnérabilité d’exécution de code à distance. Ces failles ont toutefois été corrigées en 2019 et 2020.

La faille de sécurité qui permettait d’accéder à la carte SD n’a été patchée qu’en janvier de cette année. Mais cela n’a corrigé que les V2 et V3. La caméra de sécurité V1 a perdu le support de Wyze en février ; les V1 existantes ne seront jamais sécurisées. Ce modèle présente des « limitations matérielles » qui l’empêchent d’être mis à jour.

Wyze a déclaré au moment où elle a cessé de prendre en charge la V1 que son utilisation pouvait entraîner un « risque accru ». Cependant, l’entreprise n’a toujours pas mentionné le problème de sécurité. Les utilisateurs pourraient continuer à utiliser la V1, sans savoir que des pirates pourraient avoir accès aux images stockées.

Après la divulgation du problème de sécurité, Bitdefender a été interrogé sur le fait qu’il n’avait pas divulgué ces détails plus tôt. Alors que Bitdefender a tenté de faire en sorte que Wyze prenne des mesures depuis 2019, il n’a jamais bougé pour le faire savoir au public.

Wyze a également été interrogé. Un représentant a déclaré que le problème avait été corrigé et a publié une déclaration qui dit : « Chez Wyze, nous accordons une immense valeur à la confiance de nos utilisateurs et prenons toutes les préoccupations de sécurité au sérieux. Nous évaluons constamment la sécurité de nos systèmes et prenons les mesures appropriées pour protéger la vie privée de nos clients.

« Nous avons apprécié la divulgation responsable fournie par Bitdefender sur ces vulnérabilités. Nous avons travaillé avec Bitdefender et corrigé les problèmes de sécurité dans les produits que nous prenons en charge. Ces mises à jour sont déjà déployées dans nos dernières mises à jour d’applications et de micrologiciels. »

On ne le dira jamais assez : tout ce qui a accès à Internet – y compris tous les appareils domestiques intelligents – comporte des risques de sécurité. Ils doivent être traités de la même manière que votre ordinateur ou votre smartphone.