Les caméras de surveillances Eufy, de la marque Anker, sont-elles une menace pour la vie privée des utilisateurs ? Elles sont en tout cas au cœur d’une polémique après la démonstration d’un spécialiste en cybersécurité. Paul Moore a publié sur Twitter une vidéo dans laquelle il explique que les caméras Eufy envoient des données qui sont censées être « stockées localement » vers le cloud. Ce constat est valable même lorsque le stockage sur le cloud est désactivé.
Des images transférées sans autorisation
Eufy tient pourtant un discours radicalement différent et indique sur son site que « personne d’autre que vous n’a accès à vos données ». Le discours de Paul Moore est loin d’être le même et les mauvaises surprises ne s’arrêtent pas là avec les caméras et sonnettes connectées de la marque. Des données de reconnaissances faciales transitent vers des serveurs dans le cloud d’Eufy, accompagnés d’informations personnelles. Ces dernières rendent possible l’identification des personnes et la firme ne prendrait pas les mesures de sécurité nécessaire. Le chiffrement ne serait pas à la hauteur et Eufy ne supprime pas les données de ses serveurs, même lorsque les vidéos sont supprimées de l’application.
Pour couronner le tout, il a été découvert que les flux provenant des caméras Eufy étaient accessibles via une application comme VLC. En effet, le lecteur peut lire ces flux vidéo qui ne sont pas chiffrés sans même s’authentifier.
Eufy répond… et ment ?
Face à la polémique, la firme a souhaité réagir en clarifiant certains points. Elle explique par exemple que des vignettes sont bien envoyées vers le cloud – en l’occurrence, des serveurs AWS (Amazon) – et qu’elles sont supprimées automatiquement. Il semblerait aussi que la firme a apporté quelques changements.
Ah well, the cats out the bag now… so may as well tell you.
You can remotely start a stream and watch @EufyOfficial cameras live using VLC. No authentication, no encryption.
Please don't ask for a PoC – I can't release this one.
Heads up @TechLinkedYT @LinusTech https://t.co/sU3FyRaELX
— Paul Moore (@Paul_Reviews) November 25, 2022
Contacté par le média The Verge, Eufy a notamment expliqué qu’elle était en mesure de confirmer qu’il n’était « pas possible de démarrer un flux et de regarder des séquences en direct à l’aide d’un lecteur tiers tel que VLC ». Seul problème, le site The Verge est en mesure de confirmer « que ce n’est pas vrai ». Le site a réussi à accéder « à plusieurs reprises » à des images en direct de deux de leurs propres caméras Eufy, via VLC. Ils ont pu le faire tant que la caméra n’est pas en veille et enregistre du contenu après avoir détecté du mouvement et lors d’une diffusion en direct. Cela prouve « qu’Anker a un moyen de contourner le chiffrement et d’accéder à ces caméras soi-disant sécurisées via le cloud », ajoute notre confrère Sean Hollister.
Pour l’heure, il n’y a pas de preuve que cet usage a été détourné. Toutefois, cela a de quoi susciter des interrogations et des inquiétudes sur les pratiques d’Anker en matière de sécurité.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
