Réponse au rapport de sécurité du 29/03/2022

Chez Wyze, nous accordons une importance capitale à la confiance que nos utilisateurs nous témoignent et prenons toutes les questions de sécurité très au sérieux.

Nous évaluons constamment la sécurité de nos systèmes et prenons les mesures appropriées pour protéger la confidentialité des données de nos clients. Nous avons apprécié la divulgation responsable de ces vulnérabilités par Bitdefender et avons collaboré directement avec eux pour corriger les failles de sécurité de nos produits avant la publication du rapport.

Nous tenons tout d'abord à informer nos utilisateurs que ces vulnérabilités nécessitaient un accès au réseau local. Autrement dit, pour que ces vulnérabilités soient exploitables à distance, il aurait fallu exposer votre réseau local soit directement à la personne malveillante, soit à Internet (rassurez-vous, vous ne devriez pas avoir une telle configuration et vous ne l'avez probablement pas non plus).

Comme Bitdefender l'a indiqué dans sa chronologie, nous avons publié le premier correctif le mois suivant notre notification, et nous avons continué à atténuer les risques liés à ces failles grâce à des correctifs supplémentaires déployés les mois suivants. Ces problèmes sont désormais résolus et nous ne considérons plus ce problème comme étant en cours depuis la publication des dernières mises à jour de sécurité critiques pour la dernière vulnérabilité locale identifiée dans le rapport en février 2022. Bien que nous ayons rapidement entamé le développement, nous souhaitons réagir encore plus vite à l'avenir et avons réalisé des progrès significatifs dans notre infrastructure de sécurité, notamment en recrutant une équipe d'ingénieurs en sécurité dédiés exclusivement à la gestion des incidents de sécurité et au renforcement de la protection de nos utilisateurs.

Vous vous demandez peut-être : « Pourquoi n’en entend-on parler que maintenant ? » Bitdefender et Wyze prennent la sécurité des utilisateurs concernés très au sérieux. Sachant que nous travaillions activement à l’atténuation des risques et aux mises à jour correctives, nous avons conclu ensemble qu’il était plus prudent de rester discret sur les détails jusqu’à ce que les vulnérabilités soient corrigées.

Malheureusement, malgré des efforts considérables déployés jusqu'en 2022, nous avons constaté que la Wyze Cam v1 (dont la dernière vente remonte à mars 2018) ne pouvait plus prendre en charge les mises à jour de sécurité nécessaires. La mémoire limitée de la caméra, qui nous a incités à créer la Wyze Cam v2, empêchait directement la correction de ces problèmes sur ce produit. Nous avons fait preuve de transparence envers nos clients et les avons informés de notre incapacité à continuer à proposer les mises à jour de sécurité nécessaires dans un courriel annonçant la fin de vie de ce produit. Par mesure de sécurité, nous avons choisi de ne pas divulguer les raisons précises de cette décision jusqu'à présent afin de limiter les risques pour tous les utilisateurs concernés, quel que soit le modèle. Nous recommandons vivement à nos clients de ne plus utiliser les produits en fin de vie, car les mises à jour de sécurité et autres mises à jour critiques ne sont plus fournies. Nous continuons d'exhorter les propriétaires de Wyze Cam v1 à cesser d'utiliser ces produits.

Choisir une technologie pour protéger votre maison et vos proches est une décision importante. Notre engagement à rendre la technologie accessible à tous se poursuit, et nous nous engageons à offrir une expérience fiable et sécurisée pour tous.

Si vous avez des questions ou des inquiétudes concernant la sécurité de Wyze, veuillez contacter directement notre équipe de sécurité par e-mail à l'adresse [email protected].