"J'ai été observé par un inconnu" - Un bug de caméra connectée expose ses images vidéo

Le fabricant de caméras connectées Wyze informe ses clients d'un grave problème qui a exposé les flux vidéo de certaines personnes à des inconnus, quelques mois seulement après un incident presque identique.

La semaine dernière, Wyze a subi une panne de serveur qui a entraîné un problème de mise en cache, avec pour conséquence des "fils croisés" qui ont finalement permis à certains utilisateurs d'accéder aux flux vidéo d'autres personnes.

"Nous avons eu un problème de mise en cache à partir d'une bibliothèque de clients de mise en cache tiers qui a été récemment intégrée dans notre système", peut-on lire dans la dernière annonce sur les forums de Wyze. "Elle a été surchargée après la panne de vendredi matin et les fils se sont croisés alors qu'elle essayait de revenir en ligne."

Un fil de discussion Reddit intitulé "J'ai été surveillé par quelqu'un" décrit l'expérience d'une personne ayant eu ce problème. Plusieurs autres rapports ont été publiés sur le web, comme le souligne BleepingComputer.

Wyze a envoyé des courriels aux clients concernés et à ceux qui ne le sont pas, faisant preuve d'une grande transparence à propos d'une faille de sécurité autrement grave.

Le dernier bilan est le suivant :

• Environ 13 000 utilisateurs ont reçu des images de caméras qui n'étaient pas les leurs.
• 1 504 ont cliqué sur ces vignettes. La plupart de ces clics n'ont fait qu'agrandir l'image et n'ont pas affiché de séquences réelles.
• Dans quelques cas impliquant du matériel tel que Cam Plus Lite et des événements de détection sonore, le fait de cliquer sur la vignette ne permettait pas seulement d'agrandir l'image, mais aussi de lire la vidéo de l'événement - et certaines vidéos ont donc été bien visionnées.
• Les vidéos des flux en direct n'ont pas été affectées.

Selon Wyze, l'événement a affecté un peu moins de 0,25 % des utilisateurs, y compris les utilisateurs qui ont reçu des vignettes et ceux dont les vignettes ont été envoyées à un autre compte.

Outre les problèmes de sécurité, certains clients ont également du mal à reprendre le contrôle de leurs smartcams Wyze. La société conseille à tous ceux qui ont des difficultés à récupérer leur appareil de le redémarrer ou de le mettre hors tension.

"Nous désactivons temporairement l'onglet Événement dans l'application Wyze afin d'enquêter sur un éventuel problème de sécurité et nous le rétablirons bientôt", peut-on également lire sur les forums de Wyze.

Pour éviter que de tels accidents ne se reproduisent, Wyze a ajouté une nouvelle couche de vérification avant que les utilisateurs ne soient connectés aux vidéos d'événements.

L'entreprise a également apporté des modifications côté serveur afin de contourner la mise en cache pour les vérifications des relations entre l'utilisateur et l'appareil, jusqu'à ce qu'elle trouve de nouvelles bibliothèques client qui soient soumises à des tests de stress approfondis pour des événements extrêmes tels que ceux-ci.

Malheureusement, ce n'est pas la première bévue de ce type de Wyze. En décembre 2019, l'entreprise a exposé les détails d'environ 2,4 millions de clients.

Et en septembre de l'année dernière, dans une série d'événements presque identiques, certains utilisateurs ont signalé qu'ils pouvaient voir les flux de caméras d'autres personnes dans leur interface web Wyze cam. Interrogée à ce sujet, la société a invoqué un problème de mise en cache sur le web.