Si vous possédez une caméra de sécurité Eufy, ces caméras sécurisées peuvent ne pas être aussi sécurisées qu'elles le paraissent.
Si vous aimez la sécurité, vous avez peut-être investi dans la sécurité de votre maison grâce à une caméra Eufy. Ces caméras, bien que coûteuses, ont la particularité de ne jamais stocker d'images à distance, serveurs basés sur le cloud, fonctionnant sur une base peer-to-peer, sauf si vous souhaitez payer pour le stockage dans le cloud séparément. Cependant, Paul Moore, chercheur en sécurité, a découvert que des vignettes et des visages sont stockés sur les serveurs Eufy. Eufy est une société appartenant à Anker.
Moore a montré dans une vidéo YouTube comment, même lorsque son Eufy Homebase 2 est éteint, il peut visualiser une vignette d'un enregistrement de caméra stocké sur les serveurs d'Eufy. De la même manière, on peut également voir les visages identifiés dans les images, et ceux-ci sont également stockés sur les serveurs AWS contrôlés par Eufy. Ces images semblent être supprimées au bout de 24 heures, mais il n’en demeure pas moins que des consommateurs comme Moore se sentent induits en erreur. Étant donné qu'Eufy déclare fréquemment que la confidentialité est au cœur de son fonctionnement, il est compréhensible que Moore (et d'autres consommateurs) ressentent cela.
La citation ci-dessous est tirée d'une description de produit Eufy sur Amazon.
Votre vie privée est quelque chose que nous apprécions autant que vous. Pour commencer, nous prenons toutes les mesures imaginables pour garantir la confidentialité de vos données, avec vous. Qu'il s'agisse de votre nouveau-né qui pleure pour maman ou de votre danse de la victoire après un match, vos images enregistrées resteront confidentielles. Stocké localement. Avec un cryptage de niveau militaire. Et transmis à vous, et seulement à vous. Ce n'est que le début de notre engagement à vous protéger, vous, votre famille et votre vie privée.
Moore a également démontré comment ces images sont conservées sur ces serveurs contrôlés par Eufy même après la suppression des images. Ce qui est encore plus alarmant, c'est qu'il a expliqué comment il était possible de visualiser un flux RTMP (Real-Time Messaging Protocol) à partir de sa caméra sans aucune authentification. Il n'a pas précisé si cela était possible depuis un réseau externe, ou s'il faudrait que quelqu'un soit sur le même réseau que la caméra pour accéder à ce flux. Il n'a certes pas montré de preuve de cette fonctionnalité, mais a déclaré que cela était dû au danger potentiel qu'une telle vulnérabilité soit démontrée publiquement.
Pire encore, Moore a déclaré que les vidéos étaient stockées cryptées à l'aide d'une clé de sécurité codée en dur de "ZXSecurity17Cam@", qui il les a vérifiés et décryptés localement. j'ai trouvé un dépôt GitHub non officiel pour une bibliothèque Python de 2019 pour les appareils Eufy qui fait référence à cette même clé de cryptage, ce qui suggère que c'est le cas pour plusieurs caméras Eufy existantes.
Eufy répond
Moore avait déjà contacté Eufy et partagé sa réponse sur Twitter. Dans l'e-mail, la société a confirmé qu'elle stockait ces images sur ses serveurs et a souligné l'expiration de 24 heures. La société a déclaré qu'elle ajouterait un cryptage supplémentaire à ses API et a offert à Moore la possibilité de tester son appareil Homebase 3.
Quant à ce que tout cela signifie, il est difficile de porter un jugement global sur la situation avant de parvenir à une conclusion. Nous avons contacté les deux côtés de la conversation et jusqu’à présent, nous n’avons pas encore reçu de réponse. Nous ne nous attendons pas nécessairement à recevoir une réponse non plus, car Moore a déclaré qu'il avait parlé au service juridique de la société et qu'il ne ferait aucun autre commentaire pour le moment.
Que faire avec vos produits Eufy
Si vous possédez des produits Eufy et que vous êtes préoccupé du point de vue de la confidentialité, cela vaut peut-être la peine de les débrancher pour attendre de voir ce qui se passera ensuite. On ne sait pas exactement ce que fait Eufy, et sans autres commentaires de la part des personnes impliquées, il est difficile de dire dans quelle mesure les consommateurs doivent s'inquiéter. Il semble clair que de nombreux consommateurs se sentent induits en erreur, mais on ne sait pas encore clairement dans quelle mesure.
Nous ne manquerons pas de mettre à jour au fur et à mesure que cette affaire avance, et nous espérons qu'Eufy publiera une déclaration dans un avenir proche pour tenter d'apaiser les inquiétudes que les consommateurs pourraient avoir.