Eufy, une marque de maison intelligente de la société d’accessoires technologiques Anker, était devenue populaire parmi certains acheteurs de caméras de sécurité soucieux de la confidentialité. Sa caméra de sonnette et d’autres appareils ont fièrement proclamé qu’ils n’avaient « pas de nuages ni de coûts » et que « personne d’autre que vous n’a accès à vos données ».
C’est pourquoi la série de tweets et de vidéos du consultant en sécurité et chercheur Paul Moore, démontrant que les caméras Eufy téléchargeaient des images miniatures avec nom sur des serveurs cloud pour alerter les téléphones des propriétaires, probablement non cryptés, a tellement piqué les amateurs de maison intelligente et de sécurité cette semaine.
Moore, basé au Royaume-Uni, a commencé poser des questions rhétoriques à Eufy à propos de ses pratiques sur Twitter à partir du 21 novembre. « Pourquoi mon « stockage local » #doorbellDual stocke-t-il chaque visage, sans cryptage, sur vos serveurs ? Pourquoi puis-je diffuser ma caméra sans #authentification ?! » Moore a également publié des lignes de « code source et réponses API » qui suggérait qu’une clé AES très faible était utilisée pour chiffrer les séquences vidéo.
Le 23 novembre, Moore a mis en ligne une vidéo montrant ses découvertes. Avec son Eufy Homebase débranché, Moore marchait devant sa caméra. À partir d’un navigateur Web incognito, Moore pouvait afficher une vignette de lui-même, une image du flux peu de temps avant qu’il ne soit visible et, peut-être plus inquiétant, des numéros d’identification indiquant son visage reconnu et son statut de propriétaire de la caméra.
Un jour plus tard, la société de sécurité SEC Consult a résumé deux années d’analyse d’une EufyCam 2, notant un transfert similaire de vignettes via un cloud Amazon Web Services. La société a également vu les clés faibles, suggérant « des clés de chiffrement/déchiffrement codées en dur qui sont identiques pour tous les appareils Homebase vendus », bien qu’il ne soit pas clair pour quoi les clés étaient utilisées.
SEC Consult a noté qu’Eufy semblait avoir renforcé sa sécurité depuis mai 2021, lorsque les utilisateurs ont soudainement obtenu un accès presque complet aux comptes d’autres personnes. « Mais malheureusement, les vignettes de toutes les images enregistrées semblent toujours être transférées dans AWS, de sorte que l’appareil ne répond pas à nos exigences en matière de confidentialité. » La SEC a déclaré avoir accéléré la publication de ses conclusions sur la base des tweets de Moore, et « avec [Black Friday] la manie du shopping juste au coin de la rue. »
Moore a posté plus tard une réponse d’Eufy à ses découvertes, dans lequel un représentant du support Eufy déclare que les vignettes sont limitées par les connexions au compte et que l’URL « expirera dans les 24 heures » à moins que l’utilisateur ne la partage. Le représentant d’Eufy note également qu’Eufy « l’a remarqué avant » et prévoit également de créer localement ses vignettes de magasin Homebase 3.
Moore aussi revendiqué dans un tweet ultérieur, associé à la capture d’écran d’un autre utilisateur, que vous pouvez démarrer et surveiller à distance les flux de caméras Eufy via VLC sans authentification ni cryptage. Moore a déclaré qu’il ne pouvait pas publier de preuve de concept pour la vulnérabilité. Il a aussi tweeté qu’Eufy a nié sa réclamation légale préalable à l’action contre l’entreprise, « refusant une indemnisation », mais aussi, selon Moore, lui a offert un emploi.
Je viens d’avoir une longue discussion avec @EufyOfficialservice juridique de.
Il convient à ce stade de leur donner le temps d’enquêter et de prendre les mesures appropriées ; à l’inverse, ce n’est pas juste pour moi de commenter davantage.
Je fournirai une mise à jour, dès que possible. Merci!
– Paul Moore (@Paul_Reviews) 28 novembre 2022
Enfin, lundi, Moore a tweeté qu’il avait « une longue discussion avec [Eufy’s] service juridique » et leur donnerait par la suite « le temps d’enquêter et de prendre les mesures appropriées » et a refusé de commenter davantage.
Eufy, quant à lui, a répondu à Ars et à d’autres médias par une déclaration. Eufy affirme que ses séquences vidéo et sa « technologie de reconnaissance faciale » sont « toutes traitées et stockées localement sur l’appareil des utilisateurs ». Pour les notifications push mobiles, cependant, les images miniatures sont « stockées brièvement et en toute sécurité sur un serveur cloud basé sur AWS ». Ils sont cryptés côté serveur, derrière les noms d’utilisateur et les mots de passe, supprimés automatiquement et conformes aux normes de messagerie d’Apple et de Google, ainsi qu’aux normes du Règlement général sur la protection des données (RGPD).
Eufy admet que lorsque les utilisateurs choisissent entre des notifications basées sur du texte ou des vignettes à partir de leur système lors de la configuration, « il n’a pas été précisé que le choix des notifications basées sur des vignettes nécessiterait que les images de prévisualisation soient brièvement hébergées dans le cloud ».
Eufy s’est engagé à mettre à jour son langage de configuration et à « être plus clair sur l’utilisation du cloud pour les notifications push dans nos supports marketing destinés aux consommateurs ». D’autres réclamations faites par Moore et SEC Consult n’ont pas été traitées.