Wyze déclare qu'une faille dans les caméras a permis à 13 000 clients de voir brièvement dans les maisons d'autres personnes,
le problème de sécurité est imputé à une bibliothèque de mise en cache

Wyze, fabricant de caméras de sécurité, a récemment admis une faille de sécurité qui a permis à environ 13 000 clients de voir temporairement l'intérieur des maisons d'autres utilisateurs. Initialement, la société avait mentionné 14 personnes touchées, mais ce chiffre a été revu à la hausse. La vulnérabilité est attribuée à une bibliothèque tierce de mise en cache, entraînant une confusion entre l'identification de l'appareil et de l'utilisateur. Wyze présente des excuses dans un e-mail aux clients, évoquant la responsabilité de son partenaire AWS et annonçant des mesures correctives, notamment une vérification supplémentaire avant d'accéder aux images. Certains utilisateurs expriment leur dégoût et leur violation, et la société risque des recours collectifs malgré les excuses et les actions correctives.

Wyze affirme que 99,75 % des comptes n'ont pas été affectés par le problème qui a permis à 13 000 clients d'accéder à des images et, dans certains cas, à des vidéos provenant de caméras Wyze qui ne leur appartenaient pas. Mais pour certains, cette révélation n'efface pas les sentiments de "dégoût" et d'inquiétude.
Wyze affirme qu'une panne survenue vendredi a empêché les clients de visionner les images des caméras pendant des heures.

Nom : Wyze.jpg Affichages : 10151 Taille : 25,9 Ko

Les caméras Wyze ont connu des dysfonctionnements majeurs depuis vendredi, avec des rapports d'appareils disparaissant de l'application Wyze ou affichant des erreurs lors des tentatives de visualisation. Les utilisateurs ont signalé ces problèmes sur Down Detector, et la société a émis un avis de service indiquant que ses « mesures montrent que les appareils commencent à se rétablirn », avec une « amélioration continue », tout en enquêtant toujours sur les problèmes liés à l'affichage de l'historique.

Wyze a attribué cette panne à un problème avec un partenaire d'Amazon Web Services (AWS) dont l'identité n'a pas été révélée, mais n'a pas fourni de détails, bien que Amazon Web Services n'ait signalé aucun problème ni panne à ce moment-là. Le forum de Wyze a été inondé de confirmations sur la panne du service, avec de nombreux utilisateurs se réveillant pour constater que leurs caméras Wyze ne fonctionnaient pas ou n'apparaissaient même pas dans l'application.

Certains ont mentionné avoir accédé aux images d'une caméra située à trois fuseaux horaires de distance. Face à cette situation, de nombreuses personnes ont exprimé leur intention de diversifier leurs dispositifs de sécurité ou d'adopter des solutions offrant des options de visualisation locales. Lundi matin, Wyze a envoyé des courriels à ses clients, y compris à ceux qui, selon Wyze, n'ont pas été touchés, pour les informer que la panne avait permis à 13 000 personnes d'accéder aux données des caméras d'inconnus. Voici, ci-dessous, le message complet de Wyze :

Citation Envoyé par Wyze
Amis de Wyze,
Vendredi matin, nous avons eu une interruption de service qui a conduit à un incident de sécurité. Votre compte et plus de 99,75% des comptes Wyze n'ont pas été affectés par cet incident de sécurité, mais nous voulions vous en informer et vous dire ce que nous faisons pour que cela ne se reproduise plus.

La panne a été provoquée par notre partenaire AWS et a mis hors service les appareils Wyze pendant plusieurs heures vendredi matin. Si vous avez essayé de visionner des caméras ou des événements en direct pendant cette période, vous n'avez probablement pas pu le faire. Nous sommes vraiment désolés pour la frustration et la confusion que cela a causées.

Alors que nous nous efforcions de remettre les caméras en ligne, nous avons rencontré un problème de sécurité. Certains utilisateurs ont signalé qu'ils voyaient les mauvaises vignettes et vidéos d'événements dans leur onglet Événements. Nous avons immédiatement supprimé l'accès à l'onglet "Événements" et entamé une enquête.

Nous pouvons maintenant confirmer que lors du rétablissement des caméras, environ 13 000 utilisateurs de Wyze ont reçu des vignettes de caméras qui n'étaient pas les leurs et que 1 504 utilisateurs ont cliqué sur ces vignettes. La plupart des clics ont permis d'agrandir la vignette, mais dans certains cas, une vidéo de l'événement a pu être visionnée. Tous les utilisateurs concernés ont été informés. Votre compte ne fait pas partie des comptes affectés.

L'incident a été causé par une bibliothèque client de mise en cache tierce qui a été récemment intégrée dans notre système. Cette bibliothèque client a été soumise à des conditions de charge sans précédent en raison de la remise en service simultanée de plusieurs appareils. En raison de l'augmentation de la demande, elle a confondu l'ID de l'appareil et l'ID de l'utilisateur et a connecté certaines données à des comptes incorrects.

Pour éviter que cela ne se reproduise, nous avons ajouté une nouvelle couche de vérification avant que les utilisateurs ne soient connectés à Event Videos. Nous avons également modifié notre système afin de contourner la mise en cache pour les vérifications des relations utilisateur-appareil jusqu'à ce que nous identifiions de nouvelles bibliothèques client qui sont soumises à des tests de stress complets pour des événements extrêmes comme ceux que nous avons connus vendredi.

Nous savons que cette nouvelle est très décevante. Elle ne reflète pas notre engagement à protéger nos clients ni les autres investissements et actions que nous avons réalisés ces dernières années pour faire de la sécurité une priorité absolue chez Wyze. Nous avons mis en place une équipe de sécurité, implémenté de nombreux processus, créé de nouveaux tableaux de bord, maintenu un programme de chasse aux bugs, et nous étions soumis à de nombreux audits et tests de pénétration par des tiers lorsque cet événement s'est produit.

Nous devons faire plus et être meilleurs, et nous le ferons. Nous sommes désolés de cet incident et nous nous engageons à rétablir votre confiance.
L'équipe Wyze
En réponse à des clients ayant signalé qu'ils visionnaient des images provenant de caméras d'inconnus, Wyze a déclaré avoir bloqué l'accès à l'onglet "Événements", puis avoir exigé une vérification supplémentaire pour accéder à la section « Vidéo d'événements » de l'application Wyze. David Crosby, cofondateur et directeur général de Wyze, a également déclaré que Wyze avait déconnecté les personnes qui avaient utilisé l'application Wyze vendredi afin de réinitialiser les jetons.

Les courriels de Wyze indiquent également que la société a modifié son système « pour contourner la mise en cache des vérifications des relations entre l'utilisateur et l'appareil jusqu'à ce qu'elle identifie de nouvelles bibliothèques de clients qui sont soumises à des tests de stress complets pour des événements extrêmes » comme celui qui s'est produit vendredi.

Les utilisateurs s'attendent à ce que les entreprises garantissent la protection de leurs données, indépendamment des tiers impliqués. La récente faille de sécurité chez Wyze, exposant temporairement l'intérieur des maisons de milliers de clients, souligne la nécessité cruciale de la fiabilité et de la sécurité dans le secteur des caméras de sécurité.


Cette situation met en lumière une défaillance importante dans la protection de la vie privée des utilisateurs. Cette incident soulève des inquiétudes sérieuses quant à la confiance des consommateurs dans la marque. Le nombre initial de personnes touchées, mentionné à 14, puis révisé à 13 000, suggère un manque de transparence initial, ce qui peut contribuer à une perte de confiance supplémentaire.

Ce qui pourrait inciter les clients à se tourner vers des concurrents de Wyze, recherchant des alternatives offrant des garanties de sécurité plus solides. Des entreprises concurrentes, comme Blink ou TP-Link, pourraient capitaliser sur cette faille en mettant en avant leurs propres mesures de sécurité renforcées pour attirer les utilisateurs préoccupés par la confidentialité de leurs données.

Source : Wize

Et vous ?

Quel est votre avis sur le sujet ?

Dans quelle mesure Wyze partage-t-il la responsabilité avec son partenaire AWS, et quels changements spécifiques envisage-t-il pour renforcer la sécurité de cette collaboration à l'avenir ?

Voir aussi :

Wyze, une startup de caméra de sécurité, a divulgué des données sur des millions de clients, dont les adresses électroniques, les informations SSID et les jetons API

AWS d'Amazon enregistre une troisième panne durant le mois de décembre qui a affecté Epic Games Store, Imgur, Hulu, Slack et plusieurs autres services