Posté le avril 3, 2022 à 6:55
WYZE CRITIQUÉ POUR AVOIR EXPOSÉ DES CAMÉRAS À DES VULNÉRABILITÉS DEPUIS 2019
La société de cybersécurité Bitdefender a récemment publié un rapport qui détaillait trois bugs de cybersécurité qu’elle a découverts dans les caméras de sécurité Wyze, ce qui a entraîné de nombreuses critiques à l’encontre du fabricant du produit et de la société de cybersécurité.
Bien que les vulnérabilités aient été corrigées en janvier de cette année, Wyze et Bitdefender ont été critiqués pour la manière dont ils ont traité ces découvertes. Bitdefender a déclaré avoir signalé la vulnérabilité à Wyze en mars 2019.
Les caméras ont été exposées au piratage
Le premier bug permet aux attaquants de contourner le compte du processus de connexion pour accéder aux caméras des utilisateurs. Le deuxième permet d’exécuter leur code logiciel sur les caméras compromises, tandis que la troisième vulnérabilité leur donne l’accès aux séquences enregistrées sur les caméras qui utilisent des cartes SD.
Wyze a déclaré que, d’après ses conclusions, les trois bugs ne peuvent être exploités que si les hackers ont accès au réseau WiFi de la maison.
D’après les résultats, la vulnérabilité touche les types de caméras Wyze suivants : Wyze Cam 3, Wyze Cam Pan V2, Wyze Cam Pan 1, et Wyze Cam V1.
La faille de la carte SD n’a pas été corrigée
Bien que Wyze ait réussi à corriger toutes les autres vulnérabilités, elle n’a pas pu corriger la faille de la carte SD dans la Wyze Cam V1 en raison des restrictions sur le matériel.
En conséquence, la société a dû arrêter le support de la caméra en février 2022. Après avoir mis fin au service de support, elle a conseillé à ses clients de ne plus l’utiliser. Cependant, elle n’a pas précisé quel défaut elle n’avait pas pu corriger ni à quel point il était critique à l’époque. Cela a suscité de nombreuses critiques de la part des utilisateurs qui étaient censés être au courant de cette vulnérabilité cette année.
Consumer Reports a également effectué des tests sur les différents types de caméras, ainsi que sur la sécurité et la confidentialité des données.
Il a noté que la Wyze Cam V3 a été testée en mars 2021 tandis que la Cam Pan V2 a été testée en novembre et décembre 2021. En revanche, la Wyze Cam V2 a été testée bien plus tôt, en novembre 2019.
Les vulnérabilités des trois caméras ont été examinées
Consumer Reports a déclaré que les trois caméras qu’il a examinées ont reçu de très bonnes notes en matière de sécurité des données. Cependant, elle a découvert des failles dans la Wyze Cam V2, ce qui a été signalé à l’entreprise.
Cody Feng, qui a testé les produits en matière de sécurité et de confidentialité chez Consumer Reports, a déclaré que nul IdO (internet des objets) n’est parfait. Cependant, les entreprises doivent corriger les vulnérabilités une fois qu’elles sont découvertes afin que les appareils soient aussi sûrs que possible. La pratique consistant à retarder la correction d’une vulnérabilité n’est pas bonne, réitère M. Feng. Il ajoute que les failles qui ne sont pas corrigées mettent en danger la confidentialité et la sécurité des données des utilisateurs.
Les utilisateurs ont critiqué la façon et la manière dont Bitdefender et Wyze ont traité le problème de vulnérabilité. Tout a commencé en mars 2019 lorsque Bitdefender a envoyé ses conclusions à Wyze. Même après avoir essayé de joindre l’entreprise à deux reprises, elle n’a pu recevoir aucun retour.
Puis, en avril 2019, Wyze a publié des correctifs pour Wyze Cam Pan V1 et Wyze Cam V2, qui ont réduit les risques mais ne les ont pas éliminés. Le correctif laissait toujours la carte SD vulnérable.
En septembre 2019, Wyze a publié un correctif pour la vulnérabilité de Wyze Cam V2 qui corrige la faille de connexion au compte.
Et en novembre 2020, le fabricant a fourni des mises à jour pour son application smartphone. Celle-ci corrigeait la faille permettant aux acteurs de menaces d’exécuter leurs codes sur la caméra. Enfin, Wyze a répondu à Bitdefender.
En août et septembre 2021, Bitdefender a contacté Wyze pour connaître son approche concernant le patch des vulnérabilités. Après avoir obtenu une réponse, il a informé le fabricant qu’il allait publier ses découvertes.
Les deux entreprises n’ont pas pris de mesures immédiates pour remédier au bug
En janvier 2022, Wyze a publié les mises à jour du firmware concernant la vulnérabilité de la carte SD et le correctif sur toutes les caméras concernées. Mais le correctif pour la Wyze Ca V1 n’a pas été publié en même temps que les autres. Wyze a annoncé qu’il cessera d’offrir un support à l’appareil à partir du 1er février 2022, et conseille aux propriétaires de cesser d’utiliser le produit. Cependant, aucun détail supplémentaire concernant le correctif ou le type de vulnérabilité n’a été communiqué.
Bitdefender a déclaré avoir contacté Wyze immédiatement après la découverte de la vulnérabilité, mais la société a fait preuve de lenteur dans sa réponse, mettant beaucoup de temps à préparer les correctifs pour les failles. Bitdefender a admis que l’équipe de sécurité était limitée quant au moment où le correctif de la vulnérabilité pouvait être disponible.
