Le fabricant de caméras connectées Wyze a été victime il y a quelques jours d’un incident technique. Une petite partie des clients a eu la surprise de découvrir des flux vidéo qui n’étaient pas les leurs.
Wyze Labs, une start-up états-unienne créée par trois anciens employés d'Amazon, vend des caméras de surveillance connectées, comme on en trouve facilement depuis des années.
Le fabricant s’est fait une place en axant son marketing sur le rapport qualité/prix. Le modèle Cam v3 et sa déclinaison Pro ont reçu de nombreux compliments à travers les tests, par exemple. La variante Pro dispose en outre d’un traitement local pour la détection de personnes, basé sur du machine learning maison.
Toutefois, l’entreprise a rencontré un sérieux problème technique. Le 16 février, une panne est intervenue. Pendant plusieurs heures, les services de sécurité n'ont pas fonctionné. Avec, à la clé, une surprise : des clients ont pu voir des flux vidéo qui ne leur appartenaient pas. Et ce n’était pas la première fois.
Ce qui s'est passé
Dans un email envoyé aux clients concernés, ainsi que dans les forums, la société a expliqué la situation. Le 16 février, une panne est apparue chez Amazon Web Services. Le prestataire étant utilisé par Wyze pour gérer les flux vidéo et leur enregistrement, les services de sécurité sont devenus inaccessibles plusieurs heures. Rien ne fonctionnait : ni le visionnage en direct des caméras ni celui des évènements détectés.
Pendant que la société tâche de comprendre d’où vient le problème et de le réparer, des clients signalent une situation incongrue : les vignettes et vidéos d’évènements ne sont pas les leurs. Elles proviennent d’autres maisons, sans que l’on sache lesquelles.
Wyze peut maintenant expliquer le phénomène. Lors de la remise en marche des services, toutes les caméras ont cherché à y accéder en même temps. L’entreprise explique avoir récemment intégré dans son système une bibliothèque client tierce pour gérer la mise en cache des données.
Le problème vient de ce composant : devant l’afflux de données, elle a perdu les pédales. Elle s’est mise à confondre l’identifiant de l’appareil et celui de l'utilisateur, créant parfois des connexions qui n’auraient jamais dû exister entre les deux.
C’est ainsi que 13 000 personnes environ ont pu voir des miniatures de vidéos qui ne leur appartenaient pas. Wyze ajoute que 1 504 clients ont cliqué sur ces vignettes et ont pu voir une version agrandie de l’image. « Dans certains cas, cela a pu entraîner la visualisation d'une vidéo d'événement », mais Wyze ne donne pas plus de précisions.
Des travaux et des excuses
« Pour éviter que cela ne se reproduise, nous avons ajouté un nouveau niveau de vérification avant que les utilisateurs ne soient connectés aux vidéos d'événements. Nous avons également modifié notre système pour contourner la mise en cache des vérifications relatives aux relations entre l'utilisateur et l'appareil, jusqu'à ce que nous identifiions de nouvelles bibliothèques clients soumises à des tests de résistance approfondis en cas d'événements extrêmes, tels que ceux que nous avons connus vendredi », explique l’entreprise dans son forum et dans le mail envoyé aux clients concernés.
Dans un exercice désormais classique pour toute entreprise victime d’un souci de sécurité, elle reconnait que la situation « est très décevante ». Elle insiste cependant : ce problème ne reflète pas son engagement à protéger les clients.
Elle rappelle son historique, avec la création d’une équipe dédiée à la sécurité, la création de « nombreux processus », l’arrivée de nouveaux tableaux de bord, l’ouverture d’un programme de chasse aux bugs (bug bounty) ou encore la mise en place « de nombreux audits et tests de pénétration par des tiers ».
Dans tous les cas, il ne s’agissait pas d’une attaque et les comptes eux-mêmes n’ont pas été compromis.
Oui mais…
Seulement voilà, ce n’est pas la première fois que Wyze rencontre un problème de sécurité. Plus précisément, ce problème de sécurité.
En septembre dernier, The Verge rapportait comment des clients de l’entreprise avaient pu voir des flux vidéo qui n’étaient pas les leurs. Interrogée, l’entreprise avait répondu que le problème avait duré 30 min environ et était dû à un problème de mise en cache. Soit une défaillance technique très analogue à celle du 16 février.
Si Wyze fait de nombreux efforts pour être plus transparente aujourd’hui, c’est parce que la gestion de l’incident de septembre avait été copieusement critiquée. La société n’avait pas envoyé d’email ni publié de détails précis dans son forum. Au New York Times, la journaliste Rachel Cericola expliquait ainsi pourquoi le journal supprimait sa recommandation sur les caméras Wyze.
Pointée du doigt pour son manque de communication
Ce manque de communication avait également été pointé du doigt au printemps 2022. On avait alors appris que la Wyze Cam v1 avait embarqué une faille de sécurité pendant trois ans. Cette brèche pouvait être exploitée pour accéder à la carte SD, voler la clé de chiffrement et lire les vidéos enregistrées. Or, Wyze était au courant de la faille et n’avait pas remédié à la situation, se contentant de retirer le modèle de son catalogue. Seuls les modèles v2 et V3 avaient été mis à jour.
Même si la vulnérabilité n'était pas simple à exploiter – elle requérait un accès physique – la société a été copieusement critiquée. La seule communication de l’entreprise était alors : « Continuer à utiliser la Wyze Cam après le 1ᵉʳ février 2022 comporte des risques accrus, est déconseillée par Wyze et se fait entièrement à vos risques et périls ». Mais sans donner plus de détails. Même chose pour certains mails envoyés parfois pour informer d’une mise à jour de sécurité à installer : la raison n’en était pas donnée.
Wyze avait fini par communiquer sur son blog pour expliquer que sa Cam v1 ne pouvait pas être mise à jour, « malgré des efforts intensifs » : « La mémoire limitée de la caméra qui nous a incité à créer Wyze Cam v2 nous a directement empêchés de corriger ces problèmes sur ce produit ».
Commentaires (14)
#1
Dans l'idéal, quelque chose en local uniquement (enregistrement + détection sur un NAS), et avec un moyen de couper l'accès internet à ces caméras, qui sont bien trop bavardes avec l’extérieur (sachant que je suis une bille dans tout ce qui est VLAN
Est ce que quelqu'un aurait des retours sur un tel système ?
Ou est ce que ça inspirerai un rédacteur de chez Next pour un petit tuto type Guacamole ?
#1.1
#1.2
#1.3
* Synology Surveillance (dispo sur quasi tous les NAS Synology) avec licence pour 1 à 3 caméras (mais au délà il faut acheter une licence) = mais le logiciel est impressionnant et permet de faire ce que tu cherches avec un grand nombre de caméra du marché
Mais il te faut ajouter des règles sur ton routeur pour bloquer les flux sortant des caméras (attention pour les MAJ)
* solution Unifi : très complet avec des routeurs / vidéo recorder + des caméras très performantes et pas trop cher. L'ensemble assez facile à intégrer avec leurs applications Web ou mobile.
Historique des modifications :
Posté le 20/02/2024 à 13h30
Quelques choix parmi les possibles
* Synology Surveillance (dispo sur quasi tous les NAS) avec licence pour 1 à 3 caméras (mais au délà il faut acheter une licence) = mais le logiciel est impressionnant et permet de faire ce que tu cherches avec un grand nombre de caméra du marché
Mais il te faut ajouter des règles sur ton routeur pour bloquer les flux sortant des caméras (attention pour les MAJ)
* solution Unifi : très complet avec des routeurs / vidéo recorder + des caméras très performantes et pas trop cher. L'ensemble assez facile à intégrer avec leurs applications Web ou mobile.
#1.4
Historique des modifications :
Posté le 20/02/2024 à 13h44
En effet, j'allais dire unifi : contrôleur sur un vieux PC Linux avec un peu de stockage, ou sur NAS en docker. Caméras abordables avec une gamme assez large, tu peux en profiter pour passer le Wifi dessus aussi. Application Android/IOS pour suivre le tout en local.
#1.5
Les nas Synology sont équipés de surveillance station qui permet de faire un paramétrage avancés de caméra IP comme tu le souhaites. Par contre il y a entre 1 et 2 licences gratuites fournis avec le Nas. Si tu veux mettre plus de caméra il faut acheter des licences supplémentaires.
Il faut acheter des caméras correctes si tu veux un minimum de qualité et être sûr qu'elles soient bien reconnues pour le Nas, norme Onvif.
Pour le blocage des flux internet sortants des caméras il faut bien bloquer la négociation d’ouverture de ports UPnP de ton modem routeur(Box), et désactiver les options sur les interfaces de tes caméras IP.
J'ai mis un nas Synology DS214play(3To raid1) avec 6 caméra Ip Hikkivision et de marque inconnue d'un achat groupon précédent! Ça fonctionne très bien derrière une ligne fibre, accès depuis une interface web ou/et depuis l'application Synology.
Sur le site cachem.fr tu devrais facilement trouver des informations plus précises.
#1.6
- Raspberry Pi Zero W avec une caméra infrarouge qui fait tourner MotionEye
- Raspberry PI 3B+ qui sert de serveur, également sous MotionEye
Le gros inconvénient, c'est qu'il faut tout configurer à la main, jusqu'au boitier imprimé en 3D.
Avantage énorme : 0% Cloud, je suis totalement maître de la solution et des flux. Les vidéos sont stockés chez moi et nulle part ailleurs. Pour l'accès externe, petite redirection de port, user / mot de passe fort et voila.
#1.7
Je teste aussi la solution des caméras à base d'ESP32 (espcam), ça fonctionne pas trop mal non plus.
#1.8
Historique des modifications :
Posté le 20/02/2024 à 17h00
C'est la meilleure solution aussi à mon sens. Sinon un réseau local dédié aux caméras et isolé du net.
Je teste aussi la solution des caméras à base d'ESP32 (espcam), ça fonctionne pas trop mal non plus.
Posté le 20/02/2024 à 17h00
#1.9
Mon Zoneminder enregistre la nuit et je l'expose sur internet.
Pour les alertes mail ou autre, je n'ai jamais trop regardé (je contrôle le matin les enregistrements de la nuit).
Pas simple de paramétrer la sensibilité, mais une fois fait on s'en soucis plus !
Çà donne une solution qui tourne en local.
J'ai essayé de "mettre en pause" avec les profils Freebox, mais ça ne semble pas vraiment isoler la camera d'internet :(
Edit : le profil etait sur le wifi alors qu'elle etait actuellement en eth.
Donc le bon profil mis en pause semble fonctionner (inaccessible avec l'appli dédié hors du réseau local). Mais je ne sais pas si elle est complètement isolé ou non !
Historique des modifications :
Posté le 20/02/2024 à 20h33
Pour ma part, j'ai un Zoneminder qui tourne sur un container Docker, et une camera chinoise Ctronics.
Mon Zoneminder enregistre la nuit et je l'expose sur internet.
Pour les alertes mail ou autre, je n'ai jamais trop regardé (je contrôle le matin les enregistrements de la nuit).
Pas simple de paramétrer la sensibilité, mais une fois fait on s'en soucis plus !
Çà donne une solution qui tourne en local.
J'ai essayé de "mettre en pause" avec les profils Freebox, mais ça ne semble pas vraiment isoler la camera d'internet :(
Posté le 20/02/2024 à 20h37
Pour ma part, j'ai un Zoneminder qui tourne sur un container Docker, et une camera chinoise Ctronics.
Mon Zoneminder enregistre la nuit et je l'expose sur internet.
Pour les alertes mail ou autre, je n'ai jamais trop regardé (je contrôle le matin les enregistrements de la nuit).
Pas simple de paramétrer la sensibilité, mais une fois fait on s'en soucis plus !
Çà donne une solution qui tourne en local.
J'ai essayé de "mettre en pause" avec les profils Freebox, mais ça ne semble pas vraiment isoler la camera d'internet :(
Edit : le profil etait sur le wifi alors qu'elle etait actuellement en eth.
Donc le bon profil mis en pause semble l'isoler (inaccessible avec l'appli dédié hors du réseau local). Mais je ne sais pas si elle est complètement isolé ou non !
#2
Déjà faut avoir confiance pour mettre un système de caméra entre les mains d’anciens d’Amazon…
Sinon, c’est quand même moins grave qu’un piratage, même si c’est juste n’importe quoi, ca reste un laps de temps court ou une personne a pu voir la cam d’une autre personne, peu de chance de retrouver des vidéos sur le web quoi... Mais sur le coup ca doit faire bizarre quand tu vas voir tes caméras, je serais curieux de savoir si pour autant, les gens vont changer de système. Aux US, ils font des recours collectifs pour moins que cela par moment.
#3
De un, c'est peut être un défaut de configuration/utilisation de ladite brique, et de deux, ils auraient du vérifier par eux-mêmes ce scénario via des tests de charge.
Toute ressemblance avec un xkcd ne serait que fortuite.
#4
Après perso, je me dis, quitte à être maté par une caméra avec des risques de voir sa vie privée exposée, autant rentabiliser l'affaire la brancher à un site de webcam adulte en ligne. Au moins ça rapportera des sous.
#4.1