Je viens de jeter mes caméras de sécurité domestique Wyze à la poubelle. J’en ai fini avec cette société.
je viens d’apprendre que ces trois dernières années, Wyze a été pleinement conscient d’une vulnérabilité dans ses caméras de sécurité domestique qui aurait pu permettre à des pirates de regarder dans votre maison via Internet – mais a choisi de la balayer sous le tapis. Et la société de sécurité qui a trouvé la vulnérabilité les a largement laissés faire.
Au lieu de le réparer, au lieu de le rappeler, au lieu de simplement, vous savez, dire quelque chose pour que je puisse arrêter de pointer ces caméras sur mes enfants, Wyze a simplement décidé d’arrêter la WyzeCam v1 en janvier sans explication complète. Mais mardi, la société de recherche en sécurité Bitdefender a finalement expliqué pourquoi Wyze avait cessé de le vendre : parce que quelqu’un pouvait accéder à la carte SD de votre caméra depuis Internet, voler la clé de cryptage et commencer à regarder et télécharger son flux vidéo.
Nulle part Wyze ne dit quelque chose comme ça à des clients comme moi. Pas quand il a arrêté la caméra, pas au cours des trois années qui se sont écoulées depuis que Bitdefender l’a portée à l’attention de Wyze en mars 2019, et peut-être pas jamais : le porte-parole de Wyze, Kyle Christensen, m’a dit qu’en ce qui concerne l’entreprise, elle a déjà été transparente avec ses clients. et a “complètement corrigé le problème”. Mais Wyze ne l’a corrigé que pour les versions plus récentes de la WyzeCam, et même dans ce cas, il n’a terminé de corriger les v2 et v3 que le 29 janvier 2022, selon BipOrdinateur.
En ce qui concerne la transparence, le plus que j’ai vu Wyze dire aux clients était que “votre utilisation continue de la WyzeCam après le 1er février 2022 comporte un risque accru, est découragée par Wyze et est entièrement à vos propres risques”. Il envoie aussi parfois des e-mails vagues comme celui-ci à ses clients, ce que j’appréciais auparavant mais que je remets maintenant en question rétroactivement :
Quand j’ai lu ces mots sur le « risque accru » dans notre Bord message concernant l’arrêt de la WyzeCam v1, je me souviens avoir pensé qu’il faisait juste référence à avenir mises à jour de sécurité – pas une vulnérabilité majeure qui existe déjà.
Voici une autre question, cependant : pourquoi diable Bitdefender ne divulguerait-il pas cela pendant trois années entières, alors qu’il aurait pu forcer la main de Wyze ?
Selon le propre calendrier de divulgation de la société de recherche en sécurité (PDF), elle a contacté Wyze en mars 2019 et n’a même pas obtenu de réponse jusqu’en novembre 2020, un an et huit mois plus tard. Pourtant, Bitdefender a choisi de se taire jusqu’à hier.
Au cas où vous vous poseriez la question, non, ce n’est pas normal dans la communauté de la sécurité. Bien que les experts me disent que le concept de « calendrier de divulgation responsable » est un peu dépassé et dépend fortement de la situation, nous mesurons généralement en journées, pas des années. “La majorité des chercheurs ont des politiques selon lesquelles s’ils font un effort de bonne foi pour contacter un fournisseur et n’obtiennent pas de réponse, ils le divulguent publiquement dans les 30 jours”, a déclaré Alex Stamos, directeur de l’Observatoire Internet de Stanford et ancien responsable de la sécurité chez Facebook, me dit.
“Même le gouvernement américain a un délai de divulgation par défaut de 45 jours pour empêcher les fournisseurs d’enterrer les rapports de bogues et de ne jamais les corriger”, écrit Katie Moussouris, fondatrice et PDG de Luta Security et co-auteur des normes internationales ISO pour la divulgation des vulnérabilités et la vulnérabilité. processus de manutention.
J’ai interrogé Bitdefender à ce sujet, et le directeur des relations publiques Steve Fiore a eu une explication, mais cela ne me convient pas. Le voici complet :
Nos conclusions étaient si sérieuses que notre décision, quelle que soit notre politique habituelle de prolongation de la période de grâce de 90 jours, était que la publication de ce rapport sans la reconnaissance et l’atténuation de Wyze allait exposer potentiellement des millions de clients avec des implications inconnues. D’autant plus que le fournisseur n’avait pas connu (de nous) de processus/cadre de sécurité en place. Wyze en a effectivement mis en place un l’année dernière à la suite de nos découvertes (https://www.wyze.com/pages/security-report).
Nous avons retardé la publication des rapports (caméras iBaby Monitor M6S) pendant de plus longues périodes pour la même raison auparavant. L’impact de la publication des résultats, associé à notre manque d’informations sur la capacité du fournisseur à faire face aux retombées, a dicté notre attente.
Nous comprenons que ce n’est pas nécessairement une pratique courante chez d’autres chercheurs, mais divulguer les résultats avant que le fournisseur ne fournisse des correctifs aurait mis beaucoup de gens en danger. Ainsi, lorsque Wyze a finalement communiqué avec nous et nous a fourni des informations crédibles sur sa capacité à résoudre les problèmes signalés, nous avons décidé de lui accorder du temps et de lui accorder des prolongations.
Attendre a parfois du sens. Les deux experts à qui j’ai parlé, Moussouris et Stamos, ont évoqué indépendamment les tristement célèbres vulnérabilités du processeur de l’ordinateur Meltdown comme exemple de la difficulté d’équilibrer la sécurité et la divulgation – en raison du nombre de personnes touchées, de la profondeur d’intégration des ordinateurs et à quel point ils sont difficiles à réparer.
Mais une caméra domestique intelligente grand public à 20 $ juste sur mon étagère ? Si Bitdefender a publié un communiqué de presse il y a deux ans indiquant que Wyze avait un défaut qu’il ne corrige pas, il est très facile d’arrêter d’utiliser cet appareil photo, de ne plus en acheter et d’en choisir un autre à la place. “Il existe une stratégie d’atténuation facile pour les clients concernés”, déclare Stamos.
L’exemple d’iBaby Monitor que Bitdefender évoque est également un peu ironique – car là, Bitdefender en fait a fait forcer une entreprise à agir. Lorsque Bitdefender et PCMag ont révélé que la société de surveillance pour bébé n’avait pas corrigé sa faille de sécurité, la mauvaise publicité qui en a résulté les a poussés à la réparer trois jours plus tard.
Des jours, pas des années.
:format(webp):no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/23356659/IMG_2070.jpg)
Maintenant, si vous voulez bien m’excuser, je dois dire au revoir à ces écouteurs Wyze que j’aimais, parce que je veux vraiment en finir avec Wyze. J’étais prêt à considérer comme une erreur la fuite désastreuse de 2,4 millions de données de clients par l’entreprise, mais il ne semble pas que l’entreprise en ait fait une ici. Si ces défauts étaient suffisamment graves pour interrompre l’appareil photo en 2022, les clients méritaient de le savoir en 2019.