La caméra
Eufy est une entreprise spécialisée dans les caméras de sécurité. Le principal argument de vente de la marque repose sur son prix très abordable. Elles ont été recommandées par plusieurs sites spécialisés et jusqu’il y a quelques heures c’était l’une des meilleures solutions présentes sur le marché.
Mais cette filiale du groupe Anker est dans la tourmente depuis la découverte de vidéos de surveillance postés sur le Cloud d’Eufy sans le moindre chiffrement. Un problème double, car la société assure que toutes les images sont sauvegardées de façon locale, ce qui empêche le piratage. Mais un chercheur en sécurité informatique vient de démontrer le contraire.
Des données circulent, sans aucun chiffrement
Paul Moore explique sur twitter que l’Eufy Doorbell, une caméra vendue comme sauvegardant les images de façon locale, a en réalité transmis des images et des clichés de visage directement sur la base de données de la société. Moore explique que le problème va encore plus loin, car ces images sont rattachées à des données personnelles identifiables (nom, prénom, adresse) alors même qu’il n’a jamais renseigné de telles informations.
Une fois ces résultats postés, de nombreux chercheurs en sécurité se sont penchés sur le sujet et l’un d’entre eux a prouvé que les données sauvegardées dans le cloud n’étaient même pas chiffrées. Mis en difficulté, la société a cherché à se défendre. Elle explique que cette pratique, bien que surprenante, est tout à fait conforme aux conditions générales d’utilisation (les fameuses CGU). Elle a également admis que plusieurs des découvertes de Moore avaient été corrigées.
En ce qui concerne le téléchargement d’images sur les serveurs d’Eufy, la société a souhaité répondre aux questions du site d’information Android Central. Elle a notamment expliqué que ce téléchargement était obligatoire pour transmettre une notification au propriétaire de la caméra. Lorsque cette dernière repère du mouvement devant l’entrée, elle prend une capture d’écran et la transmet sous la forme d’une notification.
Une manipulation qui demande au cliché de passer quelques secondes par les serveurs AWS d’Eufy avant de se retrouver sur le téléphone du client. C’est cette étape que Moore a découverte. Eufy explique cependant avoir corrigé une faille. Même lorsque l’utilisateur choisissait de désactiver les notifications, ces dernières étaient transmises au serveur de la société.
Eufy : le problème est-il vraiment réglé ?
Eufy assure que le problème est aujourd’hui résolu et qu’il est possible de recevoir deux types de notifications différentes. La première contient l’image et circule par les serveurs de l’entreprise, la seconde est seulement une alerte sans photo. Un « signal » est envoyé par la caméra aux serveurs qui émettent une notification sur le téléphone du client.
Cette nouvelle solution devrait permettre d’être averti quand il y a du mouvement devant chez soi sans que des photos de son pavillon ne se retrouvent sur les serveurs d’une société privée. Malgré sa bonne foi apparente dans cette affaire, la sincérité d’Eufy est questionnable.
Ce n’est pas la première fois que l’entreprise est pointée du doigt pour ses agissements en matière de cybersécurité. Elle avait déjà été alertée il y a un an sur des « flux injustifiés » autour des caméras. La société avait rapidement répondu aux demandes des utilisateurs et des corrections qui semblent avoir été apportées depuis.
Source: Gizmodo
Dévrouvez nos Kits vidéosurveillance
infrarouge
