Wyze a laissé certaines caméras de sécurité vulnérables aux pirates, mais c'est compliqué - Review Geek
Agence web » Actualités du digital » Wyze a laissé certaines caméras de sécurité vulnérables aux pirates, mais c’est compliqué

Wyze a laissé certaines caméras de sécurité vulnérables aux pirates, mais c’est compliqué

ParTremplin Numérique Publié le

Le 6 mars 2019, les chercheurs en sécurité de Bitdefender ont tenté d’avertir Wyze de trois vulnérabilités majeures dans ses caméras de sécurité intelligentes. Le pire de ces défauts, qui donne aux pirates un accès non autorisé à la carte SD d’une Wyze Cam, n’a pas été corrigé pendant trois ans et reste un problème dans les modèles Wyze Cam V1 abandonnés.

Voici la bonne nouvelle ; vous n’avez probablement pas été touché par cet exploit particulier. D’autres médias rapportant cette histoire ont manqué des détails clés, y compris comment l’exploit d’accès à distance fonctionne. Mais l’inaction de Wyze est alarmante et les clients doivent absolument se demander si l’entreprise mérite de faire confiance.

Comment fonctionne l’exploit ?

Comme décrit dans le rapport de Bitdefender, les pirates pourraient accéder au contenu de la carte SD d’une Wyze Cam « via un serveur Web écoutant sur le port 80 ». Cela est dû au fait que tout le contenu de la carte SD est accessible sans autorisation dans le répertoire Web de la caméra, ce qui est logique, car les enregistrements enregistrés sur votre carte SD doivent être visibles via votre réseau local.

Si cela semble compliqué, permettez-moi de le résumer en termes simples. Les pirates qui parviennent à accéder à votre réseau local pourraient fouiller dans la carte SD de votre Wyze Cam. Ils peuvent également accéder au contenu de la carte SD si le port de votre Wyze Cam est exposé à Internet, ce que vous devrez configurer manuellement via la redirection de port.

Les pirates qui suivent les étapes ci-dessus peuvent utiliser le script hello.cgi de Wyze Cam pour afficher le contenu de la carte SD. À partir de là, les pirates peuvent accéder à /SDPath/path et télécharger des fichiers depuis la carte SD.

Votre carte SD Wyze Cam contient une tonne de données importantes, pas seulement des clips vidéo. Les pirates peuvent consulter les fichiers journaux de Wyze Cam, par exemple, pour trouver l’UID et l’enr. Ces données pourraient permettre un accès à distance et d’autres exploits.

Si votre Wyze Cam est à jour, elle n’est pas vulnérable à cet exploit. La seule Wyze Cam non corrigée est la Wyze Cam V1. Il ne recevra probablement jamais le patch, car il est interrompu.

Vos caméras n’ont probablement pas été piratées

Le Wyze Cam Pan V2 sur une étagère.

Il y a de fortes chances que des pirates aient exploité cette vulnérabilité de Wyze Cam – Bitdefender et Wyze n’ont pas clarifié cette partie de l’histoire. Mais vos caméras n’ont probablement pas été piratées.

Comme je l’ai mentionné précédemment, cette vulnérabilité nécessite l’accès au port 80 de votre caméra. Il n’y a qu’une poignée de façons pour les pirates d’établir une connexion avec ce port. Soit ils se connectent à votre réseau local (qui peut être un réseau invité pour certains clients), soit ils interceptent le port parce que vous l’avez transféré sur Internet.

Si vous avez un voisin féru de technologie qui est assez fou pour déchiffrer votre mot de passe Wi-Fi, il pourrait absolument réussir cet exploit sur une caméra non corrigée. Mais à ce moment-là, vous êtes déjà plongé jusqu’aux genoux dans un cauchemar de sécurité. Les enregistrements par caméra seraient le moindre de vos soucis. (Si vous avez des appareils domestiques intelligents sur un réseau invité sans mot de passe, il est maintenant temps de repenser cette décision.)

Et si vous avez redirigé le port de votre Wyze Cam pour surveiller à distance son état (marche/arrêt), vous vous êtes peut-être accidentellement foutu. Les pirates auraient pu accéder à distance au contenu de la caméra sans toucher à votre réseau local.

Je dois noter que certains clients de Wyze Cam ont transféré leurs caméras à l’aide d’un guide non officiel sur les forums Wyze, qui indique explicitement que le processus pourrait ne pas être sécurisé. Cela dit, Wyze ne semble pas décourager ce comportement.

L’inaction de Wyze est la plus grande préoccupation

La Wyze Cam Outdoor.

Le propriétaire moyen de Wyze Cam peut s’éloigner de cette histoire en sachant qu’il Probablement n’ont pas été piratés. Vous devez absolument mettre à jour vos Wyze Cams existantes et abandonner tous les modèles Wyze Cam V1 que vous possédez, mais sinon, tout va bien.

Mais cette histoire est toujours troublante. Wyze n’a pas été transparent avec ses clients et s’est assis sur une faille de sécurité préoccupante pendant trois ans. Y a-t-il d’autres vulnérabilités que nous devons connaître ?

Wyze n’a même pas informé ses clients de cette faille lorsqu’elle a été corrigée le 29 janvier. Et lorsque la société a arrêté la Cam V1 deux jours plus tôt, elle a simplement expliqué que la caméra ne pouvait pas « prendre en charge une mise à jour nécessaire ». Il est très difficile de faire confiance à Wyze après qu’il nous ait sciemment gardés dans le noir.

Les chercheurs de Bitdefender sont également en mauvaise posture. Comme la plupart des groupes de sécurité, Bitdefender essaie d’accorder aux entreprises une « période de grâce » de 90 jours pour corriger les vulnérabilités de leurs produits. C’est un bon système qui empêche les vulnérabilités d’être rendues publiques avant qu’elles ne puissent être corrigées, ce qui est logique.

Mais Bitdefender a fini par accorder à Wyze un délai de grâce de trois ans. Le groupe aurait pu publier ses conclusions plus tôt pour donner un coup de pied dans le pantalon à Wyze, mais au lieu de cela, il a décidé d’attendre. Dans une déclaration à Le bordBitdefender explique que Wyze n’avait pas de système de sécurité en place lorsque cette faille a été découverte. Peut-être que Bitdefender n’avait pas confiance en la capacité de Wyze à résoudre le problème, ce qui est frustrant mais compréhensible.

Compte tenu des circonstances, vous ressentirez peut-être le besoin de remplacer vos caméras Wyze. Je suggère d’aller avec une grande entreprise comme Google, non pas parce que ces entreprises sont invulnérables aux failles de sécurité, mais parce qu’elles font l’objet d’un examen plus minutieux de la part des groupes de sécurité. Je suis frustré que Bitdefender ait porté les gants pour enfants avec Wyze, mais j’espère qu’il sera plus proactif lorsqu’il traitera avec de grandes marques.

★★★★★

Tremplin Numérique

La rédaction de Tremplin Numérique, agence web française. Nos auteurs vous fournissent quotidiennement et gratuitement les dernières actualités tech et digital, en France et dans le monde.