Les entreprises technologiques ne divulguent pas toujours les failles de sécurité en temps opportun, mais Wyze n’en a apparemment pas divulgué du tout. Comme Ordinateur qui bipe et Le bord expliquer, Bitdefender a révélé qu’il avait informé Wyze d’une vulnérabilité de sécurité majeure dans la Wyze Cam v1 en mars 2019, mais que le fabricant de l’appareil n’avait pas informé les clients, rappelé le produit ou corrigé complètement le problème au cours des trois années qui ont suivi. En fait, Wyze n’a pas pu résoudre complètement le problème – bien qu’il ait atténué le problème avec des correctifs, il est maintenant clair que la société a arrêté la caméra en janvier, car des « limitations matérielles » ont empêché une mise à jour appropriée.
La vulnérabilité permet aux attaquants de contrôler à distance la caméra sans connaître la valeur normalement nécessaire pour s’authentifier. Bien qu’ils ne puissent pas regarder la vidéo en direct car elle était cryptée, ils pouvaient diriger la caméra, l’éteindre et accéder aux vidéos enregistrées sur la carte SD. Wyze a corrigé le bug de ses caméras v2 et v3 fin janvier.
Wyze a été lent à réagir et n’a pas pleinement partagé la nature de la faille de sécurité. Bitdefender a noté que Wyze n’a accusé réception de l’avertissement qu’en novembre 2020, un an et demi après sa diffusion. Et bien qu’il ait dit aux clients qu’il avait arrêté la Wyze Cam v1 en raison d’une incompatibilité avec une mise à jour de sécurité, il n’a pas dit aux utilisateurs qu’il s’agissait d’un défaut connu vieux de trois ans. Le porte-parole de It Wyze, Kyle Christensen, a déclaré Le bord que l’entreprise avait été transparente et avait « entièrement corrigé » le problème, mais en pratique, l’entreprise n’avait dit aux propriétaires que l’utilisation de la caméra v1 après le 1er février comportait « un risque accru ».
Il n’est pas clair si des pirates ont profité de la faille, mais les conséquences potentielles étaient graves. Un intrus aurait pu regarder les activités passées dans la maison ou désactiver la caméra avant un cambriolage.
Il y a aussi des questions concernant la divulgation très tardive de Bitdefender. Le directeur des relations publiques de la société, Steve Fiore, a déclaré Le bord qu’il retarde la publication des rapports lorsqu’il n’est pas clair qu’un fournisseur peut correctement résoudre un problème. Il ne voulait pas exposer « potentiellement des millions » d’utilisateurs de Wyze Cam en partageant les détails de l’exploit avec le public. Cependant, les chercheurs en sécurité révèlent généralement les failles en quelques semaines, et non en quelques années – même le plus prudent Project Zero de Google partage les détails techniques dans les 90 jours. Bien qu’il ne soit pas toujours facile pour les entreprises technologiques de remédier rapidement aux vulnérabilités, les divulgations peuvent aider les entreprises à résoudre des problèmes de sécurité qui pourraient autrement ne pas être résolus.
Tous les produits recommandés par Engadget sont sélectionnés par notre équipe éditoriale, indépendante de notre maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation.