Agrandir / La branche sécurité d’Eufy a publiquement répondu à certaines des affirmations les plus importantes concernant les systèmes locaux de l’entreprise, mais ceux qui ont adhéré aux affirmations “pas de nuages” peuvent ne pas être pleinement assurés.
Eufy
Eufy, la marque Anker qui a positionné ses caméras de sécurité comme donnant la priorité au “stockage local” et “Pas de nuages”, a publié une déclaration en réponse aux récentes découvertes de chercheurs en sécurité et de sites d’actualités technologiques. Eufy admet qu’il pourrait faire mieux, mais laisse également certains problèmes sans réponse.
Dans un fil intitulé “Re: Récentes réclamations de sécurité contre eufy Security”, “eufy_official” écrit à ses “Security Cutomers and Partners”. Eufy “adopte une nouvelle approche de la sécurité domestique”, écrit la société, conçue pour fonctionner localement et “dans la mesure du possible” pour éviter les serveurs cloud. Les séquences vidéo, la reconnaissance faciale et la biométrie d’identité sont gérées sur les appareils, “pas le cloud”.
Cette réitération intervient après que des questions ont été soulevées à quelques reprises au cours des dernières semaines sur les politiques cloud d’Eufy. Un chercheur britannique en sécurité a découvert fin octobre que les alertes téléphoniques envoyées par Eufy étaient stockées sur un serveur cloud, apparemment non cryptées, avec des données d’identification faciale incluses. Une autre entreprise de l’époque a rapidement résumé deux années de découvertes sur la sécurité d’Eufy, notant des transferts de fichiers non cryptés similaires.
À cette époque, Eufy a reconnu utiliser des serveurs cloud pour stocker des images miniatures et qu’il améliorerait son langage de configuration afin que les clients qui souhaitaient des alertes mobiles le sachent. La société n’a pas répondu aux autres affirmations des analystes de la sécurité, notamment que les flux vidéo en direct pouvaient être accessibles via VLC Media Player avec la bonne URL, dont le schéma de cryptage pourrait potentiellement être forcé.
Un jour plus tard, le site technologique The Verge, en collaboration avec un chercheur, a confirmé qu’un utilisateur non connecté à un compte Eufy pouvait regarder le flux d’une caméra, étant donné la bonne URL. L’obtention de cette URL nécessitait un numéro de série (codé en Base64), un horodatage Unix, un jeton apparemment non validé et une valeur hexadécimale à quatre chiffres.
Eufy a alors déclaré qu’il “n’était absolument pas d’accord avec les accusations portées contre l’entreprise concernant la sécurité de nos produits”. La semaine dernière, The Verge a rapporté que la société avait notamment modifié bon nombre de ses déclarations et “promesses” de sa page de politique de confidentialité. La déclaration d’Eufy sur ses propres forums est arrivée hier soir.
Publicité
Eufy déclare que son modèle de sécurité n’a “jamais été tenté, et nous nous attendons à des défis en cours de route”, mais qu’il reste engagé envers les clients. La société reconnaît que “plusieurs réclamations ont été faites” contre sa sécurité, et la nécessité d’une réponse a frustré les clients. Mais, écrit la société, elle voulait “rassembler tous les faits avant de répondre publiquement à ces allégations”.
Les réponses à ces réclamations incluent Eufy notant qu’il utilise Amazon Web Services pour transférer les notifications cloud. L’image est cryptée de bout en bout et supprimée peu de temps après l’envoi, déclare Eufy, mais la société a l’intention de mieux informer les utilisateurs et d’ajuster son marketing.
En ce qui concerne la visualisation des flux en direct, Eufy affirme qu ‘”aucune donnée utilisateur n’a été exposée et que les failles de sécurité potentielles discutées en ligne sont spéculatives”. Mais Eufy ajoute qu’il a désactivé la visualisation des flux en direct lorsqu’il n’est pas connecté à un portail Eufy.
Eufy déclare que l’affirmation selon laquelle il envoie des données de reconnaissance faciale au cloud n’est “pas vraie”. Tous les processus d’identité sont gérés sur du matériel local et les utilisateurs ajoutent des visages reconnus à leurs appareils via un réseau local ou des connexions cryptées peer-to-peer, affirme Eufy. Mais Eufy note que sa Video Doorbell Dual utilisait auparavant « notre serveur AWS sécurisé » pour partager cette image avec d’autres caméras sur un système Eufy ; cette fonctionnalité a depuis été désactivée.
The Verge, qui n’avait pas reçu de réponses à d’autres questions sur les pratiques de sécurité d’Eufy après ses conclusions, a quelques questions de suivi, et elles sont notables. Ils incluent pourquoi la société a nié que la visualisation d’un flux à distance était possible en premier lieu, ses politiques de demande d’application de la loi et si la société utilisait vraiment “ZXSecurity17Cam @” comme clé de cryptage.
Le chercheur Paul Moore, qui a soulevé certaines des premières questions sur les pratiques d’Eufy, n’a pas encore commenté directement Eufy depuis qu’il a publié sur Twitter le 28 novembre qu’il avait eu “une longue discussion avec le service juridique (d’Eufy)”. Moore a, entre-temps, entrepris d’enquêter sur d’autres systèmes de sonnette vidéo “uniquement locaux” et les a trouvés notamment non locaux. L’un d’eux a même semblé copier mot pour mot la politique de confidentialité d’Eufy.
“Jusqu’à présent, il est plus sûr d’utiliser une sonnette qui vous indique qu’elle est stockée dans le cloud, car ceux qui sont assez honnêtes pour vous dire utilisent généralement une cryptographie solide “, a écrit Moore à propos de ses efforts. Certains des clients les plus enthousiastes et soucieux de la confidentialité d’Eufy peuvent trouver eux-mêmes d’accord.
Image de l’annonce par Eufy
