La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Bitdefender a r\u00e9cemment publi\u00e9 un rapport qui d\u00e9taillait trois bugs de cybers\u00e9curit\u00e9 qu’elle a d\u00e9couverts dans les cam\u00e9ras de s\u00e9curit\u00e9 Wyze, ce qui a entra\u00een\u00e9 de nombreuses critiques \u00e0 l’encontre du fabricant du produit et de la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9.<\/p>\n\n\n\n
Bien que les vuln\u00e9rabilit\u00e9s aient \u00e9t\u00e9 corrig\u00e9es en janvier de cette ann\u00e9e, Wyze et Bitdefender ont \u00e9t\u00e9 critiqu\u00e9s pour la mani\u00e8re dont ils ont trait\u00e9 ces d\u00e9couvertes. Bitdefender a d\u00e9clar\u00e9 avoir signal\u00e9 la vuln\u00e9rabilit\u00e9 \u00e0 Wyze en mars 2019.<\/p>\n\n\n\n
Les cam\u00e9ras ont \u00e9t\u00e9 expos\u00e9es au piratage<\/strong><\/p>\n\n\n\n Le premier bug permet aux attaquants de contourner le compte du processus de connexion pour acc\u00e9der aux cam\u00e9ras des utilisateurs. Le deuxi\u00e8me permet d’ex\u00e9cuter leur code logiciel sur les cam\u00e9ras compromises, tandis que la troisi\u00e8me vuln\u00e9rabilit\u00e9 leur donne l’acc\u00e8s aux s\u00e9quences enregistr\u00e9es sur les cam\u00e9ras qui utilisent des cartes SD.<\/p>\n\n\n\n Wyze a d\u00e9clar\u00e9 que, d’apr\u00e8s ses conclusions, les trois bugs ne peuvent \u00eatre exploit\u00e9s que si les hackers ont acc\u00e8s au r\u00e9seau WiFi de la maison.<\/p>\n\n\n\n D’apr\u00e8s les r\u00e9sultats, la vuln\u00e9rabilit\u00e9 touche les types de cam\u00e9ras Wyze suivants : Wyze Cam 3, Wyze Cam Pan V2, Wyze Cam Pan 1, et Wyze Cam V1.<\/p>\n\n\n\n La faille de la carte SD n’a pas \u00e9t\u00e9 corrig\u00e9e<\/strong><\/p>\n\n\n\n Bien que Wyze ait r\u00e9ussi \u00e0 corriger toutes les autres vuln\u00e9rabilit\u00e9s, elle n’a pas pu corriger la faille de la carte SD dans la Wyze Cam V1 en raison des restrictions sur le mat\u00e9riel.<\/p>\n\n\n\n En cons\u00e9quence, la soci\u00e9t\u00e9 a d\u00fb arr\u00eater le support de la cam\u00e9ra en f\u00e9vrier 2022. Apr\u00e8s avoir mis fin au service de support, elle a conseill\u00e9 \u00e0 ses clients de ne plus l’utiliser. Cependant, elle n’a pas pr\u00e9cis\u00e9 quel d\u00e9faut elle n’avait pas pu corriger ni \u00e0 quel point il \u00e9tait critique \u00e0 l’\u00e9poque. Cela a suscit\u00e9 de nombreuses critiques de la part des utilisateurs qui \u00e9taient cens\u00e9s \u00eatre au courant de cette vuln\u00e9rabilit\u00e9 cette ann\u00e9e.<\/p>\n\n\n\n Consumer Reports a \u00e9galement effectu\u00e9 des tests sur les diff\u00e9rents types de cam\u00e9ras, ainsi que sur la s\u00e9curit\u00e9 et la confidentialit\u00e9 des donn\u00e9es.<\/p>\n\n\n\n Il a not\u00e9 que la Wyze Cam V3 a \u00e9t\u00e9 test\u00e9e en mars 2021 tandis que la Cam Pan V2 a \u00e9t\u00e9 test\u00e9e en novembre et d\u00e9cembre 2021. En revanche, la Wyze Cam V2 a \u00e9t\u00e9 test\u00e9e bien plus t\u00f4t, en novembre 2019.<\/p>\n\n\n\n Les vuln\u00e9rabilit\u00e9s des trois cam\u00e9ras ont \u00e9t\u00e9 examin\u00e9es<\/strong><\/p>\n\n\n\n Consumer Reports a d\u00e9clar\u00e9 que les trois cam\u00e9ras qu’il a examin\u00e9es ont re\u00e7u de tr\u00e8s bonnes notes en mati\u00e8re de s\u00e9curit\u00e9 des donn\u00e9es. Cependant, elle a d\u00e9couvert des failles dans la Wyze Cam V2, ce qui a \u00e9t\u00e9 signal\u00e9 \u00e0 l’entreprise.<\/p>\n\n\n\n Cody Feng, qui a test\u00e9 les produits en mati\u00e8re de s\u00e9curit\u00e9 et de confidentialit\u00e9 chez Consumer Reports, a d\u00e9clar\u00e9 que nul IdO (internet des objets) n’est parfait. Cependant, les entreprises doivent corriger les vuln\u00e9rabilit\u00e9s une fois qu’elles sont d\u00e9couvertes afin que les appareils soient aussi s\u00fbrs que possible. La pratique consistant \u00e0 retarder la correction d’une vuln\u00e9rabilit\u00e9 n’est pas bonne, r\u00e9it\u00e8re M. Feng. Il ajoute que les failles qui ne sont pas corrig\u00e9es mettent en danger la confidentialit\u00e9 et la s\u00e9curit\u00e9 des donn\u00e9es des utilisateurs.<\/p>\n\n\n\n Les utilisateurs ont critiqu\u00e9 la fa\u00e7on et la mani\u00e8re dont Bitdefender et Wyze ont trait\u00e9 le probl\u00e8me de vuln\u00e9rabilit\u00e9. Tout a commenc\u00e9 en mars 2019 lorsque Bitdefender a envoy\u00e9 ses conclusions \u00e0 Wyze. M\u00eame apr\u00e8s avoir essay\u00e9 de joindre l’entreprise \u00e0 deux reprises, elle n’a pu recevoir aucun retour.<\/p>\n\n\n\n Puis, en avril 2019, Wyze a publi\u00e9 des correctifs pour Wyze Cam Pan V1 et Wyze Cam V2, qui ont r\u00e9duit les risques mais ne les ont pas \u00e9limin\u00e9s. Le correctif laissait toujours la carte SD vuln\u00e9rable.<\/p>\n\n\n\n En septembre 2019, Wyze a publi\u00e9 un correctif pour la vuln\u00e9rabilit\u00e9 de Wyze Cam V2 qui corrige la faille de connexion au compte.<\/p>\n\n\n\n Et en novembre 2020, le fabricant a fourni des mises \u00e0 jour pour son application smartphone. Celle-ci corrigeait la faille permettant aux acteurs de menaces d’ex\u00e9cuter leurs codes sur la cam\u00e9ra. Enfin, Wyze a r\u00e9pondu \u00e0 Bitdefender.<\/p>\n\n\n\n En ao\u00fbt et septembre 2021, Bitdefender a contact\u00e9 Wyze pour conna\u00eetre son approche concernant le patch des vuln\u00e9rabilit\u00e9s. Apr\u00e8s avoir obtenu une r\u00e9ponse, il a inform\u00e9 le fabricant qu’il allait publier ses d\u00e9couvertes.<\/p>\n\n\n\n