Les caméras de sécurité d’Eufy envoient des données sur le cloud sans consentement. Mais ce n’est pas le pire
Les affirmations d’Eufy, une division d’Anker, selon lesquelles la « vie privée est entre vos mains » ont été rendues caduques après qu’un chercheur a surpris la société de caméras de sécurité en train de télécharger des séquences qui ne devaient être hébergées qu’en local sur le cloud. Et ce, sans l’autorisation ou la connaissance de l’utilisateur de cet état de fait. Pour couronner le tout, les utilisateurs ont également été informés qu’il est possible de regarder les flux de la caméra en utilisant VLC, et ce sans authentification.
Paul Moore, un chercheur en sécurité, a été le premier à exposer la faille de sécurité dans le stockage des données locales dans le cloud. Il a souligné que même si Eufy Security prétend prendre « toutes les mesures imaginables » pour garder les données de ses utilisateurs privées et locales, il télécharge quand même non seulement des vignettes vidéo vers des serveurs dans le cloud, mais aussi des photos des visages des personnes détectées dans la vidéo et des données d’identification des utilisateurs.
Eufy se vante de conserver les données vidéo capturées dans la box HomeBase, qui ressemble à un super hub. La HomeBase se connecte aux appareils Eufy de votre maison et stocke les données, de sorte que vos vidéos et photos restent hébergées en local et que vous n’avez pas à payer pour des services de cloud comme vous le feriez avec d’autres sociétés telles que Ring.
Le stockage local est très populaire parmi les amateurs de smart home. Car vos vidéos et toutes les données pertinentes restent en sécurité dans votre maison, uniquement sauvegardées sur le disque dur de la HomeBase et/ou sur un disque dur externe.Mais apparemment pas tant que ça chez Eufy !
Paul Moore a testé le procédé en se rendant chez lui, en attendant que la notification apparaisse sur son téléphone, puis en débranchant sa HomeBase.
Il note qu’une fois sa HomeBase débranchée, deux photos sont restées dans le serveur cloud AWS : une de la vignette vidéo et l’autre de son visage lorsque la caméra de la sonnette a détecté une personne, ainsi que les informations d’identification de l’utilisateur. La vidéo n’était plus disponible sur l’application mobile de son téléphone, bien sûr, puisque la HomeBase était inaccessible.
Eufy a répondu en admettant le problème et en soulignant que les images ne sont utilisées que pour les notifications et sont immédiatement supprimées du serveur lorsque l’utilisateur supprime les événements. Cependant, une fois qu’il a supprimé les événements de son application Eufy Security, les images restent sur le serveur.
Pour couronner le tout, d’autres utilisateurs ont révélé que n’importe qui pouvait potentiellement accéder à une caméra Eufy sans authentification ni chiffrement en utilisant VLC à distance.
Depuis que ces allégations sont sorties, The Verge a indiqué avoir essayé, avec succès, « prouvant qu’Anker a un moyen de contourner le chiffrement et d’accéder à ces caméras soi-disant sécurisées via le cloud ».
publicité
Cela signifie-t-il que Eufy n’est pas sécurisé ?
Selon un e-mail d’Eufy Security à Paul Moore, la HomeBase 3 est exemptée de l’utilisation du serveur cloud AWS pour télécharger des captures d’écran d’événements en raison d’une « base de données haute performance » présente sur l’appareil.
Débrancher votre HomeBase, c’est comme déconnecter une clé USB de votre ordinateur : ce qui se trouve sur le lecteur flash n’est plus disponible sur l’ordinateur lorsqu’il est retiré.
Eufy devrait vérifier qu’une fois que la HomeBase est hors ligne, toutes les captures d’écran prises sont supprimées de ce profil. Au minimum, un avertissement devrait apparaître lorsque vous activez les captures d’écran sur vos notifications pour dire que ces images seront stockées dans un serveur cloud si elles sont activées.
Source : ZDNet.com
