Un chercheur en sécurité a affirmé que les caméras de sécurité Eufy téléchargeaient des photos contenant des données personnellement identifiables sur ses serveurs, enfreignant non seulement sa propre proposition de vente clé, mais également le règlement général sur la protection des données (RGPD) de l’UE.
Selon un rapport de Centrale Android (s’ouvre dans un nouvel onglet)le chercheur en sécurité Paul Moore a découvert que la caméra Eufy Doorbell Dual télécharge les données de reconnaissance faciale sur le cloud AWS de l’entreprise, sans cryptage.
L’entreprise, d’autre part, affirme qu’elle est entièrement conforme à la réglementation sur la protection des données et que les données collectées ne sont utilisées que pour les notifications.
Conforme au RGPD ?
Dans un série de tweets (s’ouvre dans un nouvel onglet), Moore a affirmé que les données étaient stockées avec des noms d’utilisateur et d’autres informations pouvant être utilisées pour identifier les personnes dont les images ont été prises. De plus, Eury conserve les données même lorsque l’utilisateur les supprime de l’application Eufy, affirme-t-il.
Moore a également déclaré que le flux vidéo était accessible via un navigateur Web, simplement en connaissant la bonne URL, sans mot de passe requis. Les vidéos de caméra cryptées avec AES 128 utilisent une clé simple qui peut être cassée relativement facilement, a-t-il déclaré.
Depuis qu’elle a annoncé la nouvelle, la société prétend avoir corrigé « certains des problèmes », mais n’est pas plus transparente que cela, il est donc impossible de vérifier si le problème persiste.
« Malheureusement (ou heureusement, quelle que soit la façon dont vous le regardez), Eufy a déjà supprimé l’appel réseau et fortement chiffré les autres pour le rendre presque impossible à détecter ; donc mes PoC précédents [proof of concept exploits] ne fonctionne plus. Vous pourrez peut-être appeler manuellement le point de terminaison spécifique à l’aide des charges utiles affichées, qui peuvent toujours renvoyer un résultat », a ajouté plus tard Moore.
Eufy, d’autre part, a déclaré à la publication que ses produits sont « en pleine conformité avec les normes du Règlement général sur la protection des données (RGPD), y compris les certifications ISO 27701/27001 et ETSI 303645 ». Le problème semble être lorsqu’un utilisateur décide qu’il veut miniatures avec leurs notifications.
Les notifications de la caméra sont uniquement textuelles par défaut, ce qui signifie qu’aucune vignette n’est téléchargée à moins que, comme c’était le cas avec Moore, les utilisateurs n’activent la fonctionnalité manuellement.
Eufy a également déclaré que les vignettes sont « temporairement » téléchargées sur ses serveurs, avant d’être envoyées sous forme de notification. En outre, la société a déclaré que ses pratiques de notification push sont « conformes au service Apple Push Notification et aux normes Firebase Cloud Messaging » et à la suppression automatique. Il n’a pas dit quand.
Les vignettes utilisent également le cryptage côté serveur, a ajouté la société, affirmant qu’elles ne devraient pas être visibles pour les utilisateurs non autorisés.
« Bien que notre application Eufy Security permette aux utilisateurs de choisir entre des notifications push basées sur du texte ou sur des vignettes, il n’a pas été précisé que le choix de notifications basées sur des vignettes nécessiterait que les images de prévisualisation soient brièvement hébergées dans le cloud. Ce manque de communication était un oubli de notre part et nous nous excusons sincèrement pour notre erreur », a conclu la société.
À l’avenir, Eufy affirme qu’il changera sa langue d’option de notification push, ainsi que l’utilisation du cloud pour les notifications push.