📱 2022-03-31 23:11:00 – Paris/France.
Wyze vend des caméras de sécurité intelligentes bon marché depuis la première Wyze Cam en 2017, et s’est également diversifiée dans d’autres catégories de produits (comme les écouteurs). Cependant, la société a également eu sa juste part de problèmes, et un autre problème important est apparu : les pirates pourraient accéder aux flux vidéo de Wyze Cams.
Bitdefender a publiquement révélé mardi une série de vulnérabilités de sécurité dans les caméras de sécurité de Wyze, qui affectaient Wyze Cam Pan v2 (avant le 4.49.1.47), Wyze Cam v2 (avant le 4.9.8.1002), Wyze Cam v3 (avant le 4.36.8.32 ), et la Wyze Cam d’origine sur toutes les versions de firmware. La première vulnérabilité, connue sous le nom de CVE-2019-9564, permettait aux pirates de contourner la connexion des appareils Wyze et d’accéder aux commandes de la caméra. Bitdefender a également découvert une vulnérabilité de débordement de tampon de pile (CVE-2019-12266), qui, lorsqu’elle est utilisée en combinaison avec la première faille de sécurité, peut être utilisée pour accéder à distance au flux vidéo d’une caméra.
Pour profiter de cette faille de sécurité, il faut connaître l’identifiant initial de la caméra, qui est une chaîne aléatoire qui ne peut être enregistrée qu’en rejoignant le même réseau local que la caméra. Cela limite considérablement la portée de la faille de sécurité, car un pirate informatique devrait d’abord accéder à votre réseau domestique avant d’accéder au flux vidéo d’une caméra Wyze.
Le principal problème ici n’est pas vraiment la faille de sécurité, c’est la façon dont Wyze manipulé la vulnérabilité. Bitdefender dit avoir contacté Wyze à deux reprises, d’abord le 6 mars 2019, puis le 15 mars 2019, et n’a apparemment reçu aucune réponse. Au cours des mois suivants, Wyze a mis à jour certaines de ses caméras avec un correctif partiel pour la vulnérabilité de connexion, toujours sans répondre à Bitdefender. Ce n’est qu’en novembre 2020 que Wyze a finalement communiqué avec Bitdefender, et les correctifs finaux n’ont été déployés qu’en janvier 2022.
E-mail envoyé aux clients Wyze le 6 janvier 2022 (Source : The Verge)
Non seulement Wyze n’a pas agi rapidement et n’a pas travaillé avec Bitdefender pour résoudre les problèmes de sécurité, mais l’entreprise n’a jamais reconnu la vulnérabilité de ses clients. Wyze a dit Le bord que la société a été transparente avec ses clients et a « entièrement corrigé le problème », mais la Wyze Cam d’origine n’a jamais reçu de correctif, et la société n’a apparemment jamais informé les clients de ce problème spécifique.
Wyze n’a pas publié de déclaration publique sur les failles de sécurité de son compte Twitter ou d’autres comptes de médias sociaux, au moment de la publication de cet article.
La source: The Verge, Bitdefender
SOURCE : Reviews News
N’hésitez pas à partager notre article sur les réseaux sociaux afin de nous donner un solide coup de pouce. 🤗
