eufy admet que ses caméras ont une « faille de sécurité »
Après trois semaines de silence, eufy reconnaît enfin que ses caméras ont une « faille de sécurité ». La société a publié un article de blog expliquant comment elle augmentera la confidentialité, la sécurité et la transparence de ses caméras intelligentes. Pourtant, eufy n’a pas présenté ses excuses aux clients ni expliqué comment les flux de caméras étaient accessibles dans VLC.
Voici un bref récapitulatif ; Les caméras de sécurité intelligentes d’eufy s’appuient sur une « station de base » pour stocker la vidéo localement. Cela permet de garder vos données hors du cloud et à l’abri des pirates. Mais les chercheurs en sécurité ont découvert que les flux des caméras eufy sont accessibles via VLC, un lecteur multimédia gratuit. (Pour autant que nous sachions, cette vulnérabilité n’a pas été utilisée par les pirates.)
Les chercheurs ont également découvert que les caméras eufy envoient quelque données vers le cloud. Les vignettes vidéo cryptées sont déversées dans AWS pour servir les notifications push mobiles, par exemple. Les clients ne semblent pas trop se soucier de ces vignettes vidéo, mais ils sont frustrés par le manque de transparence d’eufy à ce sujet.
Au départ, eufy a nié l’existence de toute vulnérabilité. Il a cessé de répondre aux demandes de presse liées à cette affaire et a discrètement supprimé plusieurs lignes de sa page « Engagement de confidentialité ».
Mais la société admet maintenant que « la fonctionnalité Live View de sa fonctionnalité Web-Portal présente une faille de sécurité ». Il n’explique pas ce «défaut» et ne mentionne pas VLC, mais il affirme que les utilisateurs ne peuvent plus accéder aux flux en direct du portail Web en dehors du portail Web. La possibilité de partager des diffusions en direct avec d’autres personnes a également été supprimée. Vous devez vous connecter à un compte associé à une caméra pour afficher son flux en direct. (Nous attendons toujours que les chercheurs vérifient que cette vulnérabilité est corrigée.)
De plus, eufy prend des mesures pour accroître la transparence. L’application eufy Security fournit désormais des explications détaillées sur ses paramètres de notification push, permettant aux utilisateurs de voir quels paramètres nécessitent une interaction avec le cloud. La Video Doorbell Dual est également mise à jour pour empêcher les données de reconnaissance faciale de voyager vers le cloud (auparavant, cette sonnette utilisait le cloud pour envoyer un nouveau visage à vos autres caméras eufy).
Plus tard cette semaine, eufy publiera une déclaration de sécurité révisée. Nous espérons que cette déclaration permet aux clients de mieux comprendre le fonctionnement de leurs caméras. Pourtant, nous sommes mécontents de la façon dont eufy a géré cet incident. Pour cette raison, Avis Geek ne recommande plus les caméras de sécurité intelligentes d’eufy.
Source : eufy