Eufy transfère des images depuis ses caméras sans autorisation, le fabricant s'explique 🆕

Une des marques de fabrique d'Eufy, constructeur — entre autres — de caméras connectées, est que les enregistrements vidéo peuvent être stockés en local et uniquement en local. Mais ce n'est pas tout à fait le cas, selon les découvertes troublantes du consultant en sécurité Paul Moore. Il a remarqué que sa sonnette Doorbell Dual transférait automatiquement des données sur les serveurs d'Eufy quand bien même la fonction cloud n'était pas activée.

Le fabricant propose un service d'hébergement dans le nuage, mais il n'est pas nécessaire et Paul Moore n'y avait pas souscrit. Parmi ces données téléversées on trouve des vignettes de visages ainsi que des informations sur l'utilisateur. En revanche, il ne s'agit pas d'enregistrements vidéo au complet. Ces données ne devraient tout simplement pas être transférées, ce d'autant que pour la marque, il s'agit d'un argument de vente. On trouvera d'autres témoignages sur ce fil Reddit, et cela ne concerne pas que la sonnette : les caméras aussi sont manifestement concernées.

Ah well, the cats out the bag now... so may as well tell you.

You can remotely start a stream and watch @EufyOfficial cameras live using VLC. No authentication, no encryption.

Please don't ask for a PoC - I can't release this one.

Heads up @TechLinkedYT @LinusTech https://t.co/sU3FyRaELX

— Paul Moore (@Paul_Reviews) November 25, 2022

Encore plus inquiétant, le chercheur indique aussi que les flux provenant des caméras Eufy peuvent être consultées dans des applications comme VLC, il s'agit de streams non chiffrés donc accessibles sans avoir à s'identifier. Il n'en dit pas davantage, mais il est en contact avec le fabricant, lui laissant un peu de temps pour colmater les éventuelles brèches de sécurité.

Mise à jour le 30 novembre : la marque a envoyé un communiqué qui explique certains points. Elle indique que les flux vidéo sont stockés localement et cryptés chiffrés sur l'appareil, ce qui n'entre pas en contradiction avec la possibilité d'accéder aux flux en direct. Pour les vignettes, la société explique qu'elles sont bien envoyées sur les serveurs (gérés par AWS, c'est-à-dire Amazon) mais qu'elles sont effacées automatiquement (le délai n'est pas indiqué) et que seul l'utilisateur peut y accéder. La marque s'engage donc à modifier ses applications pour indiquer explicitement que le choix d'une notification avec une vignette implique l'envoi d'une vignette sur un serveur tiers. Elle explique aussi que ce choix est conforme au RGPD.