Dans un communiqué, Anker a admis les problèmes de sécurité des caméras Eufy et a confirmé que – contrairement à la promesse publicitaire initiale – elles transmettent des données vers le cloud. Cependant, le fabricant n’a pas présenté d’excuses.
Anchor confirme l’utilisation dans le cloud des caméras Eufy
Fin novembre 2022, le chercheur en sécurité Paul Moore a découvert une vulnérabilité critique en matière de données et de sécurité dans les caméras de sécurité fabriquées par Eufy, filiale d’Anker. Les caméras, notamment le modèle Doorbell Dual, transmettent les données de reconnaissance faciale au cloud sans qu’on le demande.
Selon Moore, même les noms et les lieux sont transmis, et les données sont accessibles relativement facilement, tout en pouvant également être visualisées dans le flux sans authentification.
Le 20 décembre, le fabricant a ensuite supprimé de son site Web toute référence au stockage local, qu’il avait initialement commercialisé comme un élément de sécurité important, et y a apporté d’importants ajustements.
Eufy s’adresse désormais aux utilisateurs, clients et partenaires sur son propre forum, admettant les problèmes de sécurité. Cependant, il n’y a toujours aucune trace d’un aperçu ni même d’excuses.
On voulait d’abord recueillir toutes les informations importantes et les évaluer, explique l’entreprise. C’est pourquoi il a fallu si longtemps pour faire une déclaration. Mais à l’avenir, on souhaite publier plus rapidement des informations importantes pour les clients, poursuit-on.
Tentative d’apaisement de la part d’Eufy
« Comme indiqué précédemment, Eufy Security s’engage à réduire autant que possible l’utilisation du cloud dans nos processus de sécurité. Cependant, certains processus nécessitent aujourd’hui l’utilisation de nos serveurs AWS sécurisés. La déclaration d’Eufy sur les questions de sécurité se lit comme suit.
Des promesses promotionnelles comme « Vos données enregistrées restent privées et stockées localement. Avec un cryptage de niveau militaire. Et transmis à eux et à eux seuls », qui étaient à l’origine sur la page d’accueil d’Eufy, sonnent alors assez différemment.
Les notifications push liées à la sécurité pour les smartphones devraient être transmises aux serveurs. Cela inclut, par exemple, de petites images d’aperçu qui devraient être transférées vers le cloud, mais cela serait fait avec un cryptage de bout en bout et les images seraient à nouveau supprimées peu de temps après la notification push.
Une nouvelle information de sécurité serait encore publiée dans le courant de la semaine sur le site Internet de l’entreprise. À l’avenir, Eufy a ajouté qu’elle devra améliorer la communication de son équipe marketing et communication et publier plus de détails sur les questions liées à la sécurité.
Diffusion en direct maintenant seulement après la connexion
« Au départ, aucune donnée utilisateur n’a été publiée et les risques de sécurité possibles évoqués en ligne sont purement spéculatifs. » poursuit le constructeur. Les diffusions en direct via le portail Web seraient toujours possibles à partir de maintenant, mais elles ne pourraient plus être partagées en dehors du portail Web sécurisé.
Quiconque souhaite regarder les vidéos devra d’abord se connecter à son propre portail Web Eufy. C’est au moins un pas dans la bonne direction. En revanche, bien d’autres questions restent sans réponse.
On ne sait pas, par exemple, si ces flux peuvent être partagés avec les forces de l’ordre, si les employés de l’entreprise y ont accès et pourquoi les caméras de sécurité Eufy transmettent des flux vidéo non cryptés.
Il n’y a pas non plus d’excuses dans la déclaration. Un utilisateur note à juste titre : « C’est peut-être une traduction d’une autre langue ou quelque chose du genre, mais je n’ai rien trouvé où ils se sont excusés. » Nous non plus.