La faille de sécurité de WyzeCam n’aurait pas dû être gardée secrète

Lorsque vous installez une caméra de sécurité dans votre maison, c'est pour garder un œil sur les choses par vous-même – pour ne pas laisser les pirates pirater Internet dans votre maison.

La possibilité que quelqu'un se trouve de l'autre côté de cet objectif de caméra noirci est depuis longtemps une préoccupation pour de nombreux propriétaires, et l'une des raisons pour lesquelles la technologie de la maison intelligente n'a pas encore complètement compris. Les implications potentielles en matière de confidentialité sont énormes, mais les entreprises ont constamment rassuré les consommateurs sur le fait que toutes les vulnérabilités avaient été corrigées et que les utilisateurs étaient en sécurité.

Toutes les entreprises sauf Wyze, apparemment.

La WyzeCam est posée sur un bureau avec une caméra en arrière-plan.

Balayer la sécurité sous le tapis

Plus tôt cette année, Wyze a abandonné la WyzeCam v1 sans trop d'explications. On n'en a pas fait grand-chose; avec la disponibilité de la WyzeCam v3 , l'abandon d'un modèle antérieur semblait être une décision évidente.

Mais le 29 mars, la société de sécurité Bitdefender a révélé une autre raison possible pour laquelle l'entreprise a cessé de vendre la caméra : une faille de sécurité qui permettait aux pirates d'accéder à la caméra via Internet, de s'enfuir avec votre clé de cryptage et même de télécharger la vidéo de la caméra. alimentation.

Bitdefender affirme que le problème a été porté à l'attention de Wyze en 2019. Si cela est vrai, Wyze est au courant de cette faille de sécurité depuis trois ans, mais pas les consommateurs.

Wyze a déclaré que "la poursuite de l'utilisation de la WyzeCam après le 1er février 2022 comporte un risque accru, est découragée par Wyze et est entièrement à vos risques et périls". Il n'y avait aucune explication sur la raison pour laquelle le message a été envoyé, ni aucune reconnaissance du risque potentiel auquel les consommateurs ont été confrontés au cours des dernières années.

Un gros plan de la Wyze Cam v3.

Le problème a été corrigé dans WyzeCam v2 et v3, mais cela ne suffit pas. Lorsqu'une faille de sécurité aussi importante est découverte, elle doit être reconnue et corrigée, même si des produits doivent être rappelés.

Un résumé du problème en termes non techniques : les pirates pourraient accéder à la caméra sans vérifier leur identité en accédant à un port spécifique en raison de la façon dont les cartes SD sont adressées dans le système. Selon BleepingComputer, cette partie du problème a été résolue le 24 septembre 2019.

Une autre partie a été corrigée avec une mise à jour le 9 novembre 2020, 21 mois complets après sa découverte initiale. La plus grande partie de l'exploit – la possibilité pour les pirates d'accéder au contenu de la carte SD de votre appareil photo – n'a été corrigée que le 29 janvier 2022.

Permettez-moi de souligner quelque chose d'important ici : ces mises à jour de sécurité ne sont disponibles que sur WyzeCam v2 et v3. La WyzeCam v1 est toujours vulnérable et le sera toujours. Si vous utilisez l'un de ces appareils, vous voudrez peut-être envisager de le débrancher et de le jeter, peut-être depuis une fenêtre du troisième étage ?

Ce n'est pas la première fois

Aucun appareil n'est entièrement invulnérable aux pirates. Ring a souffert de vulnérabilités dans le passé, et en novembre 2021, un réseau domestique intelligent en Corée du Sud a connu l'une des failles de sécurité les plus répandues de tous les appareils intelligents à ce jour.

En 2018, un homme a affirmé qu'un pirate informatique lui avait parlé via sa caméra Nest IQ. La différence est que ce pirate a averti l'homme que son appareil était vulnérable et a suggéré des améliorations de sécurité, puis s'est excusé de l'avoir surpris.

La Nest Cam IQ dans une maison.

La prochaine fois que Nest a été piraté (en 2019), le résultat final n'a pas été aussi réconfortant. Une famille de l'Illinois a été narguée par un pirate informatique qui leur a crié des insultes racistes via sa caméra, avant que le pirate informatique ne détourne le thermostat intelligent et n'augmente la température de la maison à 90 degrés.

Wyze n'est pas la première entreprise à souffrir de failles de sécurité, mais c'est la première entreprise (à notre connaissance) qui semble ignorer complètement le problème. Ring et Nest ont reconnu les défauts, se sont excusés et ont cherché à corriger le problème. Le silence radio de Wyze sur cette question est préoccupant et crée un mauvais précédent pour la confiance des consommateurs.

Ce que tu peux faire

Les caméras de sécurité ont toujours leur place dans la maison. Il existe de nombreuses bonnes raisons de continuer à utiliser des caméras, que vous surveilliez vos animaux de compagnie ou que vous surveilliez un parent âgé. Il existe de nombreuses marques parmi lesquelles choisir qui n'ont pas subi d'horribles failles de sécurité.

Vous avez juste besoin d'une caméra de sécurité avec un obturateur de confidentialité physique . Un obturateur mécanique signifie que vous savez exactement quand la caméra diffuse et quand elle ne l'est pas. L'ouverture de l'obturateur s'accompagne souvent d'un clic audible ou d'un carillon de l'appareil photo.

La plupart des caméras dotées d'obturateurs de confidentialité physiques vous permettent de les fermer automatiquement lorsque la caméra n'est pas utilisée. Même les écrans intelligents comme l' Echo Show 15 ont un obturateur de confidentialité, bien que celui-ci doive être ouvert et fermé à la main.

Vous devez également prendre des décisions conscientes lorsque vous achetez une caméra de sécurité domestique. Recherchez quelles marques accordent le plus d'importance à la confidentialité . Des accidents et des piratages se produiront – c'est inévitable. Ce qui compte, c'est la réaction des entreprises. Reconnaissent-ils le problème et s'efforcent-ils de le résoudre, ou prétendent-ils qu'il n'y a pas de problème et laissent leurs clients vulnérables ?

Ma WyzeCam est débranchée. Et cela restera ainsi jusqu'à ce que je sois assuré que le problème est vraiment résolu.