Anker s'explique enfin sur les manquements de sécurité de ses caméras Eufy. The Verge a réussi à tirer les vers du nez à l'entreprise après lui avoir posé un ultimatum : le fabricant a finalement admis que ses caméras n'étaient pas chiffrées de bout en bout étant donné qu'elles peuvent produire des flux vidéo consultables de n'importe où. Ces faits ont été révélés en décembre dernier lorsqu'un chercheur a réalisé que le flux soi-disant chiffré de sa caméra était en fait accessible à distance via un lecteur multimédia classique comme VLC.
Selon un porte-parole, le problème était lié au portail Web d'Eufy. Celui-ci permet d'accéder aux flux, mais n'a pas été créé avec le chiffrement de bout en bout en tête (contrairement à l'app). Il était donc protégé par un simple combo identifiant/mot de passe. « Ce n'était pas suffisant », s'excuse la marque.
Le problème serait désormais en grande partie résolu : toutes les demandes de flux vidéo provenant du portail Web d'Eufy sont désormais chiffrées de bout en bout, et la société affirme qu'elle est en train de mettre à jour chaque caméra pour utiliser l'API chiffrée par défaut WebRTC. Contrairement à ce qu'un bout de code publié sur GitHub laissait à penser, Eufy affirme que les clefs de chiffrement des flux sont dynamiques et non pas standardisées : elle ne sont donc pas facilement devinables.
L'entreprise promet de mieux faire et s'excuse de sa communication controversée. Il faut dire qu'Eufy a pendant un temps gardé le silence avant de distiller quelques informations un peu à côté de la plaque, ce qui lui a sans doute fait perdre la confiance de nombreux clients. Désormais, l'entreprise affirme vouloir faire appel à des sociétés externes pour auditer ses pratiques de sécurité et explique être en discussion avec un expert en sécurité de premier plan pour produire un rapport indépendant. Un programme officiel de chasse aux bugs est dans les cartons, tout comme un site détaillant ses pratiques de sécurité.
