Pourquoi Review Geek ne peut plus recommander les caméras Wyze ou eufy
Il ne s’agit pas de vulnérabilités, mais de ce que les entreprises ont fait ensuite.
En ce qui concerne les caméras Wi-Fi abordables ou les caméras Wi-Fi sans nuage, Review Geek recommande depuis longtemps deux sociétés : Wyze et eufy. Nous avons passé en revue les produits des deux sociétés et les avons inclus à plusieurs reprises dans nos listes « best of ». Mais à ce jour, nous ne pouvons plus recommander non plus.
Les caméras Wi-Fi sont, à la base, un appareil qui nécessite une grande confiance. Vous installez un gadget dans votre maison qui peut voir certains des domaines les plus personnels et privés de votre vie et potentiellement les diffuser dans le monde. Même si vous les gardez dans les zones les plus « publiques » de votre maison, comme le salon ou la cuisine, c’est toujours un look beaucoup plus personnel que la plupart des gens n’obtiennent dans votre vie.
Donc, avant d’acheter un appareil photo, il est bon de savoir que l’entreprise applique de bonnes procédures de sécurité et des divulgations appropriées. Ce dernier point est particulièrement important car même avec les meilleures procédures de sécurité, aucune entreprise n’est parfaite et il est probable que chacune d’entre elles souffrira tôt ou tard d’une sorte de vulnérabilité.
Et c’est une mauvaise révélation que nous, chez Review Geek, supprimons les caméras Wyze et eufy de nos recommandations. Chacun avait une vulnérabilité et les deux n’ont pas divulgué ces problèmes au public de manière responsable, bien que de manière différente.
Wyze a caché son petit problème
Nous avons beaucoup parlé du problème avec Wyze, mais voici un récapitulatif en quelques mots. La vulnérabilité de Wyze est en fait assez petite et n’a probablement pas touché la plupart des gens. Le problème se résume à deux points clés particuliers, l’un plus rare que l’autre. Les caméras Wyze ont une capacité de visualisation à distance qui vous permet de vérifier la vidéo même lorsque vous n’êtes pas chez vous. Pour la plupart des gens, cette fonctionnalité ne fonctionne que si elle est activée.
Mais dans de rares cas, un routeur domestique peut en fait empêcher Wyze de tendre la main pour permettre la visualisation à distance. Pour contourner cela, il est possible d’activer la redirection de port dans votre routeur domestique pour créer un « tunnel » afin que Wyze puisse vous joindre lorsque vous n’êtes pas chez vous. Wyze a proposé des instructions sur la façon de procéder, mais a admis que cela pourrait diminuer votre sécurité Internet.
La vulnérabilité en question nécessitait que vous activiez à la fois la redirection de port ET que vous insériez une carte microSD dans la caméra pour enregistrer la vidéo localement. Ce dernier est assez commun, mais le premier pas tellement. Peu de gens avaient probablement les deux composants. Mais pour ceux qui l’ont fait, il était possible que quelqu’un pénètre dans votre appareil photo et regarde n’importe quelle vidéo sur la carte SD. Encore une fois, cela ne s’appliquait probablement pas à la plupart des propriétaires de caméras Wyze, mais c’est toujours une mauvaise vulnérabilité.
En 2019, les chercheurs en sécurité de BitDefender ont informé Wyze de la vulnérabilité, et c’est là que les choses vont vraiment mal. Wyze est resté assis sur ces informations pendant trois ans. Finalement, Wyze a corrigé la plupart de ses caméras pour résoudre le problème, mais apparemment, la société ne pouvait pas le faire pour la Wyze Cam d’origine.
Plutôt que de le dire aux propriétaires, la société a décidé de cesser de vendre l’appareil photo (oui, elle a vendu l’appareil photo pendant la majeure partie de cette période) et d’annoncer qu’elle ne recevrait plus de mises à jour. Et à cause de ce fait, Wyze a recommandé à quiconque possédait la mise à niveau de la caméra d’origine et a offert une petite remise pour le faire.
Voyez-vous le problème? Wyze n’a pas dit aux propriétaires de la caméra qu’il existait une vulnérabilité qui pourrait permettre aux pirates de visionner leurs vidéos. Il a simplement recommandé une mise à niveau car la caméra n’est « plus prise en charge ». Ce n’est pas comment gérer cette situation. Ce n’est qu’après que les chercheurs en sécurité ont finalement dénoncé le problème que Wyze a reconnu le problème.
C’est un abus de confiance. Comment pouvons-nous être sûrs que la prochaine fois que Wyze rencontrera une vulnérabilité, il admettra réellement le problème afin que les consommateurs puissent faire un choix éclairé ? Pour cette seule raison, nous ne pouvons plus recommander les caméras Wyze. Nous recommanderons toujours d’autres produits de la société qui ne sont pas des caméras, comme les aspirateurs robots. Mais nous surveillerons de près et pourrions changer cela si nécessaire.
Nous recherchions un bon remplacement de Wyze, quelque chose d’abordable, de confiance et de préférence avec une option pour ignorer le cloud. Et eufy fait l’affaire. Malheureusement, eufy a suivi une route similaire, peut-être pire.
eufy n’admettra même pas une grande vulnérabilité
Ces derniers jours, eufy est passé par l’essoreuse. Les chercheurs en sécurité ont porté de multiples accusations, certaines mineures et d’autres majeures. La première chose que vous devez savoir sur eufy est qu’il promet que votre vidéo ne se retrouvera jamais sur le cloud. Eufy n’offre même pas du tout d’abonnement cloud. La société affirme que toutes vos vidéos sont stockées localement sur votre caméra, à l’aide d’un cryptage de niveau militaire, et que vous seul pouvez accéder à la vidéo à l’aide de l’application ou de l’interface Web d’eufy. Aucune autre méthode ne fonctionnera et eufy ne pourra pas accéder à votre vidéo. Cela le rend idéal pour les personnes soucieuses de la sécurité.
La première réclamation contre eufy est assez mineure en comparaison. Malgré l’affirmation selon laquelle aucune vidéo n’est téléchargée sur les serveurs, il semble que certains extraits se soient terminés sur les serveurs et sous une forme non cryptée. Celles-ci se présentent sous la forme de vignettes dans une fonctionnalité facultative de l’application eufy. Vous pouvez choisir de recevoir des notifications d’image lorsque quelqu’un sonne à une porte, par exemple, pour voir qui est à la porte dans le panneau de notification.
Pour ce faire, eufy télécharge la vignette sur les serveurs AWS (Amazon) pour l’envoyer à votre téléphone et à l’interface Web. Les vignettes contiennent des informations d’identification qui pourraient potentiellement être utilisées pour identifier des personnes, avec quelques difficultés. Eufy a reconnu ce rapport et s’est engagé à mettre à jour la langue de l’application pour qu’il soit plus clair que l’obtention d’aperçus de vignettes nécessite un téléchargement temporaire sur le cloud. Les images sont finalement supprimées (bien que eufy n’ait pas précisé combien de temps).
L’autre découverte, cependant, est beaucoup plus préoccupante, tout comme la réponse d’Eufy. Plusieurs chercheurs en sécurité affirment que malgré les affirmations d’eufy, il est tout à fait possible d’accéder à la vidéo stockée sur les caméras eufy sans l’application, l’interface Web ou la connexion. Les détails sont délicats, mais cela se résume à quelques éléments : le mauvais acteur aurait besoin du numéro de série de la caméra, d’un horodatage UNIX (très facile à obtenir) et d’une clé hexagonale (relativement facile à forcer). En utilisant ces informations, il est possible de désosser une adresse que vous pouvez utiliser pour accéder à la caméra de n’importe où, en utilisant d’autres logiciels comme VLC. En théorie, les caméras nécessitent également un jeton pour la validation, mais cela ne semble pas fonctionner et vous pouvez fournir tout ce que vous voulez.
Les chercheurs en sécurité ne publient pas les méthodes exactes de peur d’enseigner aux mauvais acteurs comment accéder aux caméras de sécurité, mais prétendent qu’avec les bonnes informations ci-dessus, ils pourraient diffuser des vidéos non cryptées à partir de caméras eufy via VLC. Cela ne devrait pas être possible avec les affirmations d’eufy.
Le bord a demandé à eufy de but en blanc si les rapports étaient vrais, et la société l’a nié :
« Je peux confirmer qu’il n’est pas possible de démarrer un flux et de regarder des images en direct à l’aide d’un lecteur tiers tel que VLC », a déclaré Brett White, responsable principal des relations publiques chez Anker (la société mère d’eufy), à The Verge par e-mail.
Donc, essayer de gagner en visibilité, en tant que propriétaire d’un produit Eufy, c’est incroyablement décevant, mais apparemment, vous pouvez lire des flux de caméra via VLC pic.twitter.com/cCYF7KgKvi
— Wasabi Burns spicywasabi@infosec.exchange (@spiceywasabi) 25 novembre 2022
Mais La Bord a réussi à reproduire l’affirmation et à diffuser la vidéo à partir de caméras eufy via VLC. Malgré la déclaration d’eufy selon laquelle ce n’était pas possible. Il convient de noter qu’en ce moment, il serait difficile de reproduire cela dans la nature car vous avez besoin du numéro de série d’un appareil photo. Mais ce ne sont pas exactement des informations protégées – vous les trouverez sur les boîtes des produits. Et il est potentiellement possible que des numéros de série soient collectés et divulgués, tout comme les adresses e-mail.
Maintenant que Le bord reproduit l’affirmation, vous vous attendriez à ce que eufy change de ton. Mais cela ne semble pas être le cas. Dans une déclaration donnée à AndroidCentral, eufy continue de nier ou d’ignorer complètement le problème même après Le bordrapport de :
eufy Security est catégoriquement en désaccord avec les accusations portées contre l’entreprise concernant la sécurité de nos produits. Cependant, nous comprenons que les événements récents aient pu inquiéter certains utilisateurs. Nous examinons et testons fréquemment nos fonctionnalités de sécurité et encourageons les commentaires de l’ensemble du secteur de la sécurité pour nous assurer que nous corrigeons toutes les vulnérabilités de sécurité crédibles. Si une vulnérabilité crédible est identifiée, nous prenons les mesures nécessaires pour la corriger. De plus, nous nous conformons à tous les organismes de réglementation appropriés sur les marchés où nos produits sont vendus. Enfin, nous encourageons les utilisateurs à contacter notre équipe de support client dédiée pour toute question.
Et cela nous laisse dans un bateau similaire à Wyze. Les caméras de sécurité, en particulier celles que vous installez chez vous, nécessitent de la confiance. Et eufy a brisé cette confiance. À certains égards, eufy est actuellement pire que Wyze, car ce dernier a au moins admis le problème lorsque l’information est devenue publique. C’est encore trop tard, mais eufy attend encore plus longtemps. Nous ne pouvons donc pas en toute bonne conscience recommander les caméras de sécurité de l’une ou l’autre des sociétés à nos lecteurs.
En règle générale, si nous cessons de recommander un produit d’une entreprise, comme une caméra de sécurité, nous exposons les raisons et ce qu’il faudrait pour retrouver notre recommandation. C’est arrivé avec Ring – nous avons cessé de recommander les caméras Ring, nous avons défini nos attentes et lorsque la société les a rencontrées, nous avons recommencé à recommander Ring. Nous aimons également proposer des alternatives que vous pouvez acheter à la place.
Mais dans ce cas, la situation est beaucoup plus difficile. Comment Wyze et eufy regagnent-ils la confiance après avoir refusé d’admettre leurs problèmes rapidement ? Le bord va jusqu’à dire que eufy a menti dans ses réponses, bien que l’on puisse dire qu’il est possible que le responsable des relations publiques ait eu tort mais ait cru leur déclaration. Pourtant, eufy continue de nier ces affirmations, malgré les preuves présentées par plusieurs chercheurs en sécurité et organes de presse. Comment en reviens-tu ?
Je ne sais tout simplement pas, donc je ne suis pas en mesure de recommander à nouveau l’une ou l’autre des sociétés. Nous allons garder un œil sur eux et partir de là. Pour l’instant, nous supprimerons eufy et Wyze de nos articles recommandant des caméras.
Quant aux alternatives, c’est aussi une situation délicate. Le simple fait est qu’aucune autre entreprise ne répond tout à fait à la facture des caméras abordables avec des options sans nuage qui ne nécessitent pas de matériel supplémentaire pour le stockage local ou des notifications utiles. Certains sont proches, comme Blink ou Arlo, mais nécessitent des composants supplémentaires qui font grimper le prix. Ou venez des sociétés mères que nous ne sommes pas sûrs de pouvoir recommander confortablement.
Et franchement, chaque entreprise est « à un mauvais jour » de la même situation. Tout dépend de la façon dont ils gèrent la divulgation. Pour l’instant, en toute transparence, je peux seulement vous dire que je possède des caméras Wyze, et qu’elles sont toujours branchées. Je connais les risques, et je suis prêt à les prendre.
Mais ce n’est pas la même chose que de les recommander à quelqu’un d’autre. Aucune recommandation ne doit commencer par « c’est une bonne option, mais d’abord, vous devez savoir certaines choses ». Et ce serait une exigence. Le seul pari sûr que vous pouvez prendre est de ne pas placer de caméras de sécurité du tout dans votre maison.