Caméras connectées : des clients de Wyze ont pu voir des flux vidéos d’autres personnes
-
Le fabricant de caméras connectées Wyze a été victime il y a quelques jours d’un incident technique. Une petite partie des clients a eu la surprise de découvrir des flux vidéo qui n’étaient pas les leurs.
Wyze Labs, une start-up états-unienne créée par trois anciens employés d’Amazon, vend des caméras de surveillance connectées, comme on en trouve facilement depuis des années.
Le fabricant s’est fait une place en axant son marketing sur le rapport qualité/prix. Le modèle Cam v3 et sa déclinaison Pro ont reçu de nombreux compliments à travers les tests, par exemple. La variante Pro dispose en outre d’un traitement local pour la détection de personnes, basé sur du machine learning maison.
Toutefois, l’entreprise a rencontré un sérieux problème technique. Le 16 février, une panne est intervenue. Pendant plusieurs heures, les services de sécurité n’ont pas fonctionné. Avec, à la clé, une surprise : des clients ont pu voir des flux vidéo qui ne leur appartenaient pas. Et ce n’était pas la première fois.
Ce qui s’est passé
Dans un email envoyé aux clients concernés, ainsi que dans les forums, la société a expliqué la situation. Le 16 février, une panne est apparue chez Amazon Web Services. Le prestataire étant utilisé par Wyze pour gérer les flux vidéo et leur enregistrement, les services de sécurité sont devenus inaccessibles plusieurs heures. Rien ne fonctionnait : ni le visionnage en direct des caméras ni celui des évènements détectés.
Pendant que la société tâche de comprendre d’où vient le problème et de le réparer, des clients signalent une situation incongrue : les vignettes et vidéos d’évènements ne sont pas les leurs. Elles proviennent d’autres maisons, sans que l’on sache lesquelles.
Wyze peut maintenant expliquer le phénomène. Lors de la remise en marche des services, toutes les caméras ont cherché à y accéder en même temps. L’entreprise explique avoir récemment intégré dans son système une bibliothèque client tierce pour gérer la mise en cache des données.
Le problème vient de ce composant : devant l’afflux de données, elle a perdu les pédales. Elle s’est mise à confondre l’identifiant de l’appareil et celui de l’utilisateur, créant parfois des connexions qui n’auraient jamais dû exister entre les deux.
C’est ainsi que 13 000 personnes environ ont pu voir des miniatures de vidéos qui ne leur appartenaient pas. Wyze ajoute que 1 504 clients ont cliqué sur ces vignettes et ont pu voir une version agrandie de l’image. « Dans certains cas, cela a pu entraîner la visualisation d’une vidéo d’événement », mais Wyze ne donne pas plus de précisions.
Des travaux et des excuses
« Pour éviter que cela ne se reproduise, nous avons ajouté un nouveau niveau de vérification avant que les utilisateurs ne soient connectés aux vidéos d’événements. Nous avons également modifié notre système pour contourner la mise en cache des vérifications relatives aux relations entre l’utilisateur et l’appareil, jusqu’à ce que nous identifiions de nouvelles bibliothèques clients soumises à des tests de résistance approfondis en cas d’événements extrêmes, tels que ceux que nous avons connus vendredi », explique l’entreprise dans son forum et dans le mail envoyé aux clients concernés.
Dans un exercice désormais classique pour toute entreprise victime d’un souci de sécurité, elle reconnait que la situation « est très décevante ». Elle insiste cependant : ce problème ne reflète pas son engagement à protéger les clients.
Elle rappelle son historique, avec la création d’une équipe dédiée à la sécurité, la création de « nombreux processus », l’arrivée de nouveaux tableaux de bord, l’ouverture d’un programme de chasse aux bugs (bug bounty) ou encore la mise en place « de nombreux audits et tests de pénétration par des tiers ».
Dans tous les cas, il ne s’agissait pas d’une attaque et les comptes eux-mêmes n’ont pas été compromis.
Oui mais…
Seulement voilà, ce n’est pas la première fois que Wyze rencontre un problème de sécurité. Plus précisément, ce problème de sécurité.
En septembre dernier, The Verge rapportait comment des clients de l’entreprise avaient pu voir des flux vidéo qui n’étaient pas les leurs. Interrogée, l’entreprise avait répondu que le problème avait duré 30 min environ et était dû à un problème de mise en cache. Soit une défaillance technique très analogue à celle du 16 février.
Si Wyze fait de nombreux efforts pour être plus transparente aujourd’hui, c’est parce que la gestion de l’incident de septembre avait été copieusement critiquée. La société n’avait pas envoyé d’email ni publié de détails précis dans son forum. Au New York Times, la journaliste Rachel Cericola expliquait ainsi pourquoi le journal supprimait sa recommandation sur les caméras Wyze.
Pointée du doigt pour son manque de communication
Ce manque de communication avait également été pointé du doigt au printemps 2022. On avait alors appris que la Wyze Cam v1 avait embarqué une faille de sécurité pendant trois ans. Cette brèche pouvait être exploitée pour accéder à la carte SD, voler la clé de chiffrement et lire les vidéos enregistrées. Or, Wyze était au courant de la faille et n’avait pas remédié à la situation, se contentant de retirer le modèle de son catalogue. Seuls les modèles v2 et V3 avaient été mis à jour.
Même si la vulnérabilité n’était pas simple à exploiter – elle requérait un accès physique – la société a été copieusement critiquée. La seule communication de l’entreprise était alors : « Continuer à utiliser la Wyze Cam après le 1ᵉʳ février 2022 comporte des risques accrus, est déconseillée par Wyze et se fait entièrement à vos risques et périls ». Mais sans donner plus de détails. Même chose pour certains mails envoyés parfois pour informer d’une mise à jour de sécurité à installer : la raison n’en était pas donnée.
Wyze avait fini par communiquer sur son blog pour expliquer que sa Cam v1 ne pouvait pas être mise à jour, « malgré des efforts intensifs » : « La mémoire limitée de la caméra qui nous a incité à créer Wyze Cam v2 nous a directement empêchés de corriger ces problèmes sur ce produit ».
Source : next.ink
-
Ceux qui ont maté le porno des voisins
