Données personnelles : Eufy tente de rassurer ses clients

Données personnelles : Eufy tente de rassurer ses clients


La mise à jour logicielle ajoute la mention du transfert des données sur un service de cloud qui manquait. Image : Maria Diaz/ZDNET.

Ces deux dernières semaines, Eufy Security a été au cœur des critiques. En cause ? De multiples failles de sécurité dans son système signalées par des clients.

Lundi, la société a déployé en réponse une mise à jour sur son application Eufy Security : désormais, l’application informe ses utilisateurs que toutes les vignettes vidéo sont téléchargées sur les serveurs cloud de l’entreprise.

Des images envoyées sur les serveurs d’AWS sans consentement

Cette mise à jour fait suite à des signalements indiquant que des images capturées dans le flux de la caméra ou de la détection de visage ont été envoyées aux serveurs cloud d’AWS. Et ce, même lorsque l’option de stockage cloud était désactivée dans les paramètres de l’application.

L’application Eufy Security permet aux utilisateurs d’opter pour des notifications push n’affichant que du texte, ou du texte et une miniature de l’image capturée par la caméra. Ces photos ne sont envoyées dans le cloud que lorsque le client choisit d’afficher la vignette dans les notifications push sur son téléphone.

Front view of wall-mounted EufyCam 3

Image : Maria Diaz/ZDNET.

Une contradiction cachée par l’entreprise

A vrai dire, le stockage d’images sur le cloud est un processus plutôt normal pour les caméras de sécurité, qui envoient des notifications push de vignettes de photos aux appareils Android et aux iPhone.

Le problème, c’est qu’Eufy ne l’a jamais révélé à ses clients. L’entreprise avait même insisté sur le fait que les données des clients étaient conservées localement et de manière privée, attirant ainsi les personnes qui préfèrent le stockage local pour des raisons de confidentialité.

Comme le prouve un e-mail d’Eufy divulgué par le consultant en sécurité de l’information Paul Moore, la société était au courant de cette contradiction, alors qu’elle était censée s’efforcer de résoudre le problème avec la nouvelle version de son application.

Mieux cacher les données téléchargées

Eufy Security a ajouté qu’elle « chiffrerait l’API entre le navigateur et le serveur pour éviter l’affichage des URL en clair ». En d’autres termes, la société va mieux cacher les données téléchargées.

Vous pouvez aussi, et c’est ce que j’ai choisi de faire pour éviter ce genre de problèmes, choisir de recevoir des notifications sans vignette.

Screenshot of the updated Eufy Security app

Le nouveau disclaimer ajouté à l’application Eufy Security. Image : Maria Diaz/ZDNET.

Anker, la maison mère d’Eufy Security, n’a pas répondu à notre demande de commentaire sur cette mise à jour. Nous ne savons pas encore si l’entreprise va s’attaquer au problème qui concerne la possibilité de visionner sans authentification les flux des caméras à l’aide du lecteur VLC et d’une URL.

Source : ZDNet.com





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.