Anker a gardé le silence depuis que des failles de sécurité ont été découvertes dans son système, ce qui a mécontenté beaucoup d’utilisateurs et les a poussés à se demander s’ils pouvaient faire confiance aux caméras de sécurité Eufy.
Cette semaine, Anker Electronics a finalement reconnu que, oui, les caméras de sécurité Eufy produisaient effectivement des flux vidéo pour le portail Web, sans chiffrement natif, selon The Verge. Anker est la société mère d’Eufy.
À l’automne 2022, le fabricant d’appareils domestiques intelligents a été surpris en train de télécharger des données d’utilisateurs sur des serveurs cloud sans consentement. En plus de cela, des clients ont affirmé que quelqu’un pouvait utiliser un lien du portail web d’Eufy pour visionner le livestream de la caméra à l’aide d’un lecteur multimédia, en l’occurrence VLC.
Anker affirme que ce n’est plus le cas.
« Aujourd’hui, toutes les vidéos utilisent un chiffrement de bout en bout »
« Aujourd’hui, toutes les vidéos (en direct et enregistrées) partagées entre l’appareil de l’utilisateur et le portail Web d’Eufy Security ou l’application Eufy Security utilisent un chiffrement de bout en bout, qui est mis en œuvre à l’aide des algorithmes AES et RSA », a déclaré le responsable communication d’Anker, Eric Villines.
Maria Diaz/ZDNET
En ce qui concerne ce qui est téléchargé sur le cloud, Eufy a clairement indiqué désormais sur l’application mobile que certaines données doivent être téléchargées sur des serveurs de cloud lorsque les utilisateurs activent des fonctions telles que les aperçus vidéo pour les notifications push.
De mon point de vue, le problème n’est pas de télécharger des captures d’écran sur le cloud, car la plupart des caméras de sécurité connectées font de même. Le problème est qu’Eufy savait que cela se produisait et a quand même fait croire le contraire à ses clients.
Des mises à jour des caméras commencent à être diffusées
Depuis qu’elle vend des caméras de sécurité et des systèmes d’alarme, Eufy affirme également que toutes vos données sont conservées au niveau local. Il n’y a pas lieu de s’inquiéter, tout sera en sécurité sur le disque de stockage intégré de votre HomeBase, ou sur n’importe quel disque dur ou disque SSD que vous choisirez d’y ajouter si vous en avez la possibilité.
Dans ses courriels adressés à The Verge, Anker s’est excusé auprès des clients pour le manque de réponse et s’est engagé à faire un meilleur travail à l’avenir. L’une des façons de le faire est de travailler avec une société indépendante pour effectuer des tests de sécurité et de pénétration dans le but d’auditer le système et les pratiques d’Eufy.
L’objectif est de « procéder à une évaluation complète des risques de sécurité de nos produits et d’éliminer les risques potentiels », a expliqué Mme Villines.
La société s’engage également à garantir que toutes les demandes de flux vidéo provenant du portail Web d’Eufy soient chiffrées de bout en bout et met à jour toutes les caméras Eufy pour qu’elles utilisent WebRTC, que la HomeBase 3 et l’EufyCam 3/3C utilisent déjà. Selon Anker, seul environ 0,1 % des utilisateurs quotidiens actuels utilisent le portail Web.
Les mises à jour du firmware des autres caméras Eufy ont commencé à être diffusées la semaine dernière. Les utilisateurs de l’application mobile Eufy Security peuvent être assurés que leurs images et les flux des caméras étaient déjà chiffrés de bout en bout, et que cela se faisait localement soit sur la caméra, soit sur la HomeBase, selon Anker.
La question de la reconnaissance faciale toujours en suspens
Le portail web d’Eufy Security, qui exige que les utilisateurs se connectent avant d’y accéder, n’a pas été conçu à l’origine avec un chiffrement de bout en bout, ce que Villines admet être un problème. Il s’agit du seul processus de streaming vidéo qui n’a pas utilisé de chiffrement.
L’entreprise a mis en place de nouveaux protocoles et procédures pour les fonctionnalités qui pourraient être développées à l’avenir, garantissant que toutes les données allant des appareils des utilisateurs à l’application mobile ou au portail web Eufy Security doivent utiliser un chiffrement de bout en bout.
« Il y a plusieurs processus normaux qui nécessitent l’utilisation du cloud, comme la configuration du compte, les notifications push, la configuration initiale de l’appareil, l’OTA de l’appareil, etc. », a déclaré Villines.
Capture d’écran de la « preuve de confidentialité » d’Eufy sur son site Web au moment de l’incident, qui a depuis été modifiée. Capture d’écran par Maria Diaz/Eufy Security
Eufy nie également avoir envoyé des données de reconnaissance faciale sur le cloud, mais mentionne qu’une mise à jour a été effectuée pour la caméra , qui était la seule à utiliser les serveurs cloud AWS pour envoyer une image de reconnaissance faciale initiale à d’autres caméras. Le processus LAN/P2P est désormais utilisé pour ce faire. ZDNET n’a toujours pas reçu de réponse d’Anker à propos de ces problèmes.
L’entreprise prévoit également de lancer un microsite contenant des informations sur les processus clés qui sont réalisés localement et ceux qui nécessitent l’utilisation du cloud, et promet de fournir « des mises à jour plus opportunes à notre communauté (et aux médias !) pour que les clients soient mieux informés de toute mise à jour de ces stratégies », l’une de ces mises à jour étant prévue pour début février.
Alors, pouvez-vous faire confiance aux caméras de sécurité Eufy ?
De temps en temps, nous entendons parler de failles de cybersécurité et de fuites de données de la part d’entreprises qui ont gagné la confiance des utilisateurs. Ce n’est pas nouveau. À chaque fois, il semble que les personnes ayant une opinion sur ce sujet se répartissent en trois groupes : un qui pense que tout cela est exagéré, un qui ne peut pas croire que les gens ne sont pas plus indignés, et un qui reste neutre.
En général, j’essaie de rester dans le champ neutre. J’essaie de prendre le mauvais avec le bon, et de reconnaître à quel point il est difficile de construire un système complètement imperméable pour ensuite le jeter dans un ouragan et espérer le meilleur. Au cours des dernières semaines, cependant, j’ai oscillé entre ces trois positions.
Ayant un certain nombre d’appareils Eufy dans ma maison, je pense que la société a un long chemin à parcourir pour regagner la confiance des consommateurs, et bien que ces nouveaux processus semblent prometteurs, il faudra du temps pour y parvenir.
En ce qui concerne les excuses, M. Villines a déclaré : « Les excuses devraient être accompagnées de plus de détails sur ce qui s’est passé et les mesures correctives que nous avons prises pour nous assurer que cela ne se reproduira pas ». Et je pense que c’est une chose sur laquelle nous sommes tous d’accord.
Source : « ZDNet.com »
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));