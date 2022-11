À la lumière des violations de la vie privée et des failles de sécurité des sociétés de caméras de sécurité domestique telles que Wyze, Ring et Google ces dernières années, nous vous recommandons de traiter votre caméra comme si elle avait déjà été compromise. Plus récemment, le fabricant d’électronique basé en Chine Anker et sa célèbre marque de caméras de sécurité et de sonnette Eufy ont renforcé ce point.

Selon un Rapport 9to5Google publié mardicertaines caméras Eufy, dont la Eufy Doorbell Dual et la EufyCam 3, envoyer des données aux serveurs cloud d’Eufy, malgré la promesse du fabricant d’un “stockage local pour vos yeux uniquement” – même lorsque le stockage cloud est désactivé. De plus, selon le rapport, les données ne sont pas immédiatement supprimées des serveurs d’Eufy après la suppression des images de l’application Eufy.

“Certaines de nos solutions de sécurité créent de petites images de prévisualisation (vignettes) de vidéos qui sont hébergées brièvement et en toute sécurité sur un serveur cloud basé sur AWS”, a déclaré un porte-parole d’Eufy à CNET, ajoutant qu'”il n’était pas clair que le choix des vignettes les notifications nécessiteraient que les images d’aperçu soient brièvement hébergées dans le cloud.”

Le chercheur en sécurité Paul Moore a d’abord exposé la vulnérabilité et offre une “preuve irréfutable” de ses affirmations dans la brève vidéo ci-dessous.

Dans la vidéo, Moore montre que les images miniatures des vidéos sont en effet envoyées dans le cloud avec la reconnaissance faciale et les informations d’identification de l’utilisateur.

“Donc, malheureusement, ce” entièrement local, c’est privé pour vous et seulement vous “est un non-sens total”, commente Moore. Non seulement cela, mais les mêmes données étaient apparemment accessibles à partir d’un compte, d’une base et d’un appareil Eufy distincts.

Si cela ne suffisait pas, Moore affirme dans un autre tweet qu’il est possible de visualiser des flux en direct non cryptés à l’aide du lecteur multimédia open source VLC sans avoir besoin d’authentification.

En réponse aux revendications de stockage dans le cloud, un porte-parole d’Eufy a déclaré à CNET que la société “révise le langage d’option des notifications push dans l’application Eufy Security” et “sera plus claire sur l’utilisation du cloud pour les notifications push dans nos documents marketing destinés aux consommateurs. .”

Cela expliquerait et rectifierait, en partie, pourquoi les images miniatures et les données d’identification des utilisateurs seraient envoyées dans le cloud. Cependant, des questions subsistent, notamment sur les affirmations de Moore concernant des vulnérabilités de sécurité potentielles. Nous avons contacté Eufy pour faire le suivi de ces réclamations et mettrons à jour ce message si nous recevons une réponse.