Voilà qui ne va pas faire de la publicité à Wyze, la startup spécialisée dans les solutions de sécurité connectées, fondée en 2017. Pendant plus de 20 jours, un transfert de données de grande importance a failli, laissant vulnérables des millions de données personnelles des clients de la société.
Wyze vient de reconnaître officiellement la situation. Selon leurs chiffres, 2,4 millions d’utilisateurs seraient touchés, pour un total de 40 millions d’informations laissées sans protocole de sécurité pour y avoir accès. Un nouvel épisode qui vient conclure une année assez noire pour la sécurité informatique.
La sécurité connectée, au centre d’une vulnérabilité informatique
L’annonce de Wyze intervient quelque temps après que l’entreprise ait été tenue au courant de la situation, par un organe tiers. Car oui, la vulnérabilité informatique qu’a connu la jeune startup n’a pas été détectée directement par elle. Nos confrères de CNET expliquent que le signalement de la fuite a été donné par une entreprise spécialisée en cybersécurité, appelée Twelve Security.
Dans un article posté sur son blog, l’entreprise évoque l’ampleur de la faute, commise par Wyze. « Personnellement, au cours de mes dix années d’administrateur système et de cloud computing, je n’ai jamais rencontré de brèche de cette ampleur », écrivait l’un des rédacteurs anonymes de Twelve Security.
Dans le détail, l’entreprise évoque que des adresses mail, des identifiants de réseaux Wifi et des données plus personnelles de certains clients ont été stockés sans sécurité. Cette exposition est d’une ampleur spectaculaire par le nombre de personnes touchées, mais aussi par la durée sans sécurité : le problème a duré du 4 au 26 décembre, sans que Wyze ne s’en rende compte.
Pour en comprendre l’exposition de données personnelles relatives à 2,4 millions de clients, il faut revenir un peu en arrière. Dans le but d’accompagner sa croissance et proposer un service de meilleure qualité, Wyze avait lancé une opération de migration de l’ensemble de ses données vers une nouvelle base, fonctionnant sous une technologie nouvelle appelée ElasticSearch. Plus rapide et mieux organisée, celle-ci allait permettre de faire un pas en avant pour un meilleur tri des données, et une plus grande rapidité d’exécution.
Une erreur humaine à l’origine
C’est malheureusement lors de ce processus que les 40 millions d’enregistrements ont pu devenir accessibles à des personnes malveillantes. L’entreprise explique qu’il s’agirait d’une faute humaine, provoquée par la suppression des protocoles de sécurité de la base. Une « erreur humaine a été commise » écrivait Wyze dans un communiqué, ajoutant que « nous étudions toujours cet événement pour comprendre pourquoi et comment cela a pu se produire ».
Ce n’est pas la première fois, en 2019, qu’une situation de ce type tourne au scandale. Les transferts de base de données sont des exercices qui semblent bien difficiles, même aux entreprises les plus importantes du web actuel. Avant Wyze, une autre vulnérabilité de taille avait touché un service de stockage dans le Cloud, en laissant passer des informations sur des noms et adresses de plus de 80 millions de ménages américains.
L’année prochaine, la question de la sécurité informatique sera d’autant plus importante, à en croire une étude. Difficile de se rassurer aujourd’hui, alors même que des entreprises spécialisées dans la sécurité sont l’objet de défaillances.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
