Si vous avez une Wyze Cam version 1, nous avons de mauvaises nouvelles. La caméra de sécurité domestique bon marché et facile à utiliser présente de graves failles de sécurité qui ne seront pas corrigées.
Vous feriez mieux de vous débarrasser de l’unité et de dépenser 35 $ pour passer à la Wyze Cam version 2 ou Wyze Cam v3, sur lesquelles ces défauts ont été corrigés. Ou vous pouvez consulter notre liste des meilleures caméras de sécurité à domicile pour encore plus d’options.
« Alors que les versions 2 et 3 ont été corrigées contre ces vulnérabilités, la version 1 a été interrompue et ne reçoit plus de correctifs de sécurité », a averti la société de sécurité Bitdefender dans un article de blog aujourd’hui (29 mars). « Les clients qui continuent à utiliser Wyze Cam version 1 ne sont plus protégés et risquent de voir leurs appareils exploités. »
Quelle est la différence entre Wyze Cam v1 et v2 ?
Le seul problème est que la Wyze Cam v1, qui a fait ses débuts en 2017, et la Wyze Cam v2, qui est sortie un an plus tard, peuvent se ressembler exactement. (Il y a aussi un modèle noir de v2.)
Nous avons contacté la ligne de chat du support client de Wyze et avons été informés que vous pouvez trouver les informations sur l’appareil au bas de chaque caméra – les unités v2 diront « v2 » tandis que les unités v1 ne le feront pas.
Les principales différences se situent au niveau des entrailles. Wyze Cam v2 a une fréquence d’images de 15 ips contre 10 ips pour la v1 ; v2 fonctionne avec Google Assistant et Amazon Alexa, tandis que v1 n’a qu’Alexa ; et v2 a une fonction de marquage de mouvement alors que v1 n’en a pas.
Dans tous les cas, Wyze a mis fin à la prise en charge de la v1 le 1er février. C’est ironique, car un livre blanc de Bitdefender détaille comment il a informé Wyze pour la première fois de ces trois failles de sécurité en mars 2019, il y a trois ans.
Bitdefender dit que Wyze a corrigé ou atténué certaines des failles au cours de la prochaine année et demie sans reconnaître les messages originaux de Bitdefender. Wyze a finalement répondu à Bitdefender en novembre 2020, selon le rapport de la société de sécurité, et les deux ont ensuite travaillé ensemble pour vérifier d’autres correctifs.
Prise de contrôle à distance
Défaut non. 1, catalogué comme CVE-2019-9564, vous permet de prendre le contrôle d’une caméra Wyze sur Internet sans mot de passe. En utilisant cette faille, vous « pouvez contrôler entièrement l’appareil, y compris le contrôle de mouvement (panoramique/inclinaison), en désactivant l’enregistrement sur [the SD card]allumer/éteindre la caméra », a noté Bitdefender, même si vous ne pouviez pas voir le flux en direct. Cela a été corrigé sur Wyze Cams v2 et v3, mais pas sur Wyze Cam v1.
Défaut non. 2, catalogué comme CVE-2019-12266, vous permet de visualiser le flux en direct. Cela implique de submerger la mémoire interne de la caméra du Wyze avec trop de données, permettant à un attaquant distant de prendre le contrôle total de l’appareil. Il n’est pas tout à fait clair si cela a été corrigé sur Wyze Cam v1, mais cela l’a été sur v2 et v3.
Défaut non. 3 est non catalogué mais permet à un attaquant distant d’accéder sans mot de passe au contenu de la carte SD insérée dans la caméra. Cela a été atténué sur Wyze Cam v1, mais entièrement corrigé uniquement sur Wyze Cams v2 et v3.