Wyze savait que les pirates pouvaient accéder à distance à sa caméra pendant trois ans et n’a rien dit

Je viens de jeter mes caméras de sécurité domestique Wyze à la poubelle. J’en ai fini avec cette société.

je viens d’apprendre que pour les trois dernières annéesWyze était pleinement conscient d’une vulnérabilité dans ses caméras de sécurité domestique qui aurait pu permettre à des pirates de fouiller votre maison sur Internet, mais a décidé de la balayer sous le tapis. Et la société de sécurité qui a trouvé la vulnérabilité leur a largement permis de le faire.

Au lieu de le réparer, au lieu de le ramener, au lieu de simplement, vous savez, dire quelque chose Afin d’arrêter de pointer ces caméras vers mes enfants, Wyze a simplement décidé d’arrêter la WyzeCam v1 en janvier sans explication complète. Mais mardi, la société de recherche en sécurité Bitdefender a finalement fait la lumière sur les raisons pour lesquelles Wyze a cessé de le vendre : parce que quelqu’un pourrait accéder à la carte SD de votre caméra depuis Internet, voler la clé de cryptage et commencer à regarder et télécharger votre flux vidéo.

Nulle part Wyze ne dit quelque chose comme ça à des clients comme moi. Pas quand il a arrêté la caméra, pas au cours des trois années qui se sont écoulées depuis que Bitdefender a attiré l’attention de Wyze en mars 2019, et peut-être jamais : le porte-parole de Wyze, Kyle Christensen, m’a dit qu’en ce qui concerne l’entreprise, elle a déjà été transparente avec ses clients. et a “complètement corrigé le problème”. Mais Wyze ne l’a corrigé que pour les versions plus récentes de WyzeCam, et même alors, il n’a terminé de corriger les v2 et v3 que le 29 janvier 2022, selon BleepingÉquipe.

En ce qui concerne la transparence, le plus que j’ai vu Wyze dire aux clients était que “votre utilisation continue de WyzeCam après le 1er février 2022 comporte un risque accru, Wyze le déconseille et est entièrement à vos risques et périls”. Il envoie aussi parfois des e-mails vagues comme celui-ci à ses clients, ce que j’appréciais auparavant mais que je remets maintenant en question rétroactivement :

Extrait d’un e-mail du 6 janvier intitulé “Conditions d’utilisation et mises à jour de sécurité”
Capture d’écran par Sean Hollister/The Verge

Quand j’ai lu ces mots sur le « risque accru » dans notre Bord post sur la panne de WyzeCam v1, je me souviens avoir pensé qu’il faisait simplement référence à avenir mises à jour de sécurité : pas une vulnérabilité majeure qui existe déjà.


Cependant, voici une autre question : pourquoi Bitdefender n’a-t-il pas divulgué cela pendant trois années entières, alors qu’il aurait pu forcer la main de Wyze ?

Selon le propre calendrier de divulgation de la société de recherche en sécurité (PDF), elle a contacté Wyze en mars 2019 et n’a même pas obtenu de répondre jusqu’en novembre 2020, un an et huit mois plus tard. Cependant, Bitdefender a choisi de garder le silence jusqu’à hier.

Au cas où vous vous poseriez la question, non, ce n’est pas normal dans la communauté de la sécurité. Alors que les experts me disent que le concept d’un « calendrier de divulgation responsable » est un peu dépassé et très situationnel, nous mesurons généralement en jours, pas des années. “La mayoría de los investigadores tienen políticas en las que, si hacen un esfuerzo de buena fe para comunicarse con un proveedor y no obtienen una respuesta, lo revelan públicamente en 30 días”, Alex Stamos, director del Observatorio de Internet de Stanford y exdirector de sécurité. sur Facebook, me dit-il.

“Même le gouvernement américain a une fenêtre de divulgation par défaut de 45 jours pour empêcher les fournisseurs d’enterrer les rapports de bogues et de ne jamais les corriger”, écrit Katie Moussouris, fondatrice et PDG de Luta Security et co-auteur des rapports. divulgation de la vulnérabilité. processus de manutention.

J’ai interrogé Bitdefender à ce sujet et le responsable des relations publiques Steve Fiore m’a donné une explication, mais cela ne me semble pas correct. Le voici dans son intégralité :

Nos conclusions étaient si sérieuses que notre décision, indépendamment de notre politique habituelle de 90 jours avec des prolongations de période de grâce, était que la publication de ce rapport sans la reconnaissance et l’atténuation de Wyze exposerait potentiellement des millions de clients avec des implications inconnues. D’autant plus que le fournisseur n’avait pas de processus/cadre de sécurité connu (de nous). Wyze en a mis en place une l’année dernière à la suite de nos découvertes (https://www.wyze.com/pages/security-report).

Nous avons retardé la publication des rapports (caméras iBaby Monitor M6S) pendant des périodes plus longues pour la même raison que ci-dessus. Le choc de rendre les résultats publics, couplé à notre manque d’informations sur la capacité du fournisseur à faire face aux retombées, a dicté notre attente.

Nous comprenons que ce n’est pas nécessairement une pratique courante chez d’autres chercheurs, mais publier les résultats avant que les correctifs ne soient fournis par le fournisseur aurait mis de nombreuses personnes en danger. Ainsi, lorsque Wyze nous a finalement contactés et nous a donné des informations fiables sur leur capacité à résoudre les problèmes signalés, nous avons décidé de leur donner du temps et d’accorder des extensions.

Attendre a parfois du sens. Les deux experts avec qui j’ai parlé, Moussouris et Stamos, ont indépendamment cité les tristement célèbres vulnérabilités du processeur de l’ordinateur Meltdown comme un exemple de la difficulté d’équilibrer la sécurité et la divulgation, en raison du nombre de personnes touchées, de la profondeur d’intégration des ordinateurs et de la difficulté qu’ils ont. sont à fixer.

Mais une caméra domestique intelligente grand public à 20 $ juste sur mon étagère ? Si Bitdefender a publié un communiqué de presse il y a deux ans indiquant que Wyze avait un bogue qu’il ne corrige pas, il est très facile d’arrêter d’utiliser cet appareil photo, de ne pas en acheter plus et d’en choisir un autre. “Il existe une stratégie d’atténuation facile pour les clients concernés”, déclare Stamos.

L’exemple d’iBaby Monitor mentionné par Bitdefender est également un peu ironique, car Bitdefender a fait forcer une entreprise à agir. Lorsque Bitdefender et PCMag ont révélé que la société de surveillance pour bébé n’avait pas réussi à corriger sa faille de sécurité, la mauvaise publicité qui en a résulté les a obligés à la réparer trois jours plus tard.

des jours et non des années.

Ce n’est pas une blague.
Photo de Sean Hollister/Le bord

Maintenant, si vous voulez bien m’excuser, je dois dire au revoir à ces écouteurs Wyze que j’aimais, parce que je veux vraiment mettre fin à Wyze. J’étais prêt à considérer comme une erreur la fuite de données désastreuse de l’entreprise de 2,4 millions de clients, mais il ne semble pas que l’entreprise en ait fait une ici. Si ces défauts étaient suffisamment graves pour interrompre l’appareil photo en 2022, les clients méritaient de le savoir en 2019.

Leave a Comment