La faille de sécurité de Wyze a touché plus de 900 fois plus de personnes qu’on ne le pensait initialement
Ce n’est pas non plus la première fois que la société montre aux utilisateurs des images de caméras d’étrangers.
Vous vous souvenez de la fuite de la caméra de sécurité Wyze il y a quelques jours, qui a montré à 14 utilisateurs des images de l’intérieur des maisons d’autres personnes ? Il s’avère que le nombre de personnes touchées était plutôt de 13 000.
Wyze a informé les utilisateurs de la faille de sécurité du 16 février par courrier électronique, admettant qu’environ 930 fois plus de personnes ont été touchées par l’incident qu’on ne le pensait initialement. La société de maison intelligente a déclaré qu’environ 13 000 utilisateurs ont vu des images miniatures provenant de caméras appartenant à d’autres personnes, et que 1 504 personnes les ont tapées. Cela agrandissait l’image ou montrait à l’utilisateur une vidéo de la caméra Wyze d’un inconnu, des images privées auxquelles il n’aurait jamais dû avoir accès.
Selon la société, plus de 99,75 % des utilisateurs de Wyze n’ont pas été affectés par la violation. Pourtant, cela représente environ 0,25 % des utilisateurs dont la vie privée a été violée – et 100 % qui auraient dû renouveler leurs inquiétudes quant à la sécurité de leurs caméras de sécurité.
La violation s’est produite après que les caméras de Wyze soient tombées en panne pendant près de neuf heures vendredi, une panne que l’entreprise a attribuée à son partenaire Amazon Web Services. Les appareils ont été connectés par erreur aux mauvais utilisateurs lorsqu’ils sont revenus en ligne, permettant ainsi aux gens de jeter un coup d’œil dans les maisons d’étrangers.
« L’incident a été provoqué par une bibliothèque client de mise en cache tierce qui a été récemment intégrée à notre système », a écrit Wyze dans les e-mails, qu’il a également partagés sur son forum officiel. « Cette bibliothèque client a subi des conditions de charge sans précédent causées par la remise en ligne simultanée des appareils. En raison de la demande accrue, elle a mélangé le mappage des identifiants d’appareil et des identifiants d’utilisateur et a connecté certaines données à des comptes incorrects. »
Les utilisateurs des caméras de sécurité de Wyze ne sont pas du tout impressionnés par cette explication. Beaucoup se sont tournés vers les réseaux sociaux pour ridiculiser à la fois le manque de sécurité et la réponse de Wyze, critiquant l’entreprise pour ce qu’ils percevaient comme une tentative de rejeter la faute sur un tiers au lieu d’en assumer l’entière responsabilité.
« Je n’aime vraiment pas qu’une entreprise essaie de blâmer un « tiers » pour un oubli… », a commenté l’utilisateur de Reddit u/90TigerWW2K. « Cher Wyze, que l’erreur provienne d’AWS ou d’un autre tiers, du point de vue du consommateur, VOUS ÊTES RESPONSABLE DE LA GESTION DE VOS FOURNISSEURS. »
« Je suis tellement dégoûté et bouleversé », a écrit u/H3H3ather. Elle faisait partie des 0,25 pour cent d’utilisateurs concernés. « J’ai déjà supprimé mon compte, mais je me sens tellement violé. »
Wyze a tenté de rassurer ses clients en ajoutant plus de sécurité à son service.
« Pour nous assurer que cela ne se reproduise plus, nous avons ajouté une nouvelle couche de vérification avant que les utilisateurs ne soient connectés aux vidéos d’événements », a écrit Wyze. « Nous avons également modifié notre système pour contourner la mise en cache pour les vérifications des relations utilisateur-appareil jusqu’à ce que nous identifiions de nouvelles bibliothèques clientes qui sont minutieusement testées pour les événements extrêmes comme nous l’avons vécu vendredi. »
Malheureusement, il est peut-être trop peu, trop tard pour certains utilisateurs, d’autant plus qu’il s’agit loin du premier scandale de sécurité de Wyze. Un incident similaire survenu en septembre avait déjà permis aux utilisateurs de Wyze de visualiser les flux des caméras d’autres personnes, la société déclarant à l’époque qu’elle « ferait des efforts pour s’assurer que cela ne se reproduise plus ». En 2022, un rapport a révélé que Wyze était au courant d’une faille de sécurité majeure depuis trois ans, mais n’avait pas réussi à la réparer complètement, à rappeler les caméras concernées ou même à informer ses utilisateurs. Et en 2019, une fuite massive de données chez Wyze a exposé les données personnelles de 2,4 millions d’utilisateurs, y compris les adresses e-mail et les données de santé.
Les caméras de sécurité peuvent être utiles et, dans de nombreux cas, donnent aux utilisateurs un sentiment de sécurité supplémentaire. Néanmoins, vous devriez réfléchir longuement pour savoir si vous avez réellement besoin de caméras connectées à Internet pour vous surveiller chez vous. Ou, à tout le moins, réévaluer leur position.