Eufy transfère des images depuis ses caméras sans autorisation, le fabricant s'explique 🆕

Mickaël Bazoge |

Une des marques de fabrique d'Eufy, constructeur — entre autres — de caméras connectées, est que les enregistrements vidéo peuvent être stockés en local et uniquement en local. Mais ce n'est pas tout à fait le cas, selon les découvertes troublantes du consultant en sécurité Paul Moore. Il a remarqué que sa sonnette Doorbell Dual transférait automatiquement des données sur les serveurs d'Eufy quand bien même la fonction cloud n'était pas activée.

Le fabricant propose un service d'hébergement dans le nuage, mais il n'est pas nécessaire et Paul Moore n'y avait pas souscrit. Parmi ces données téléversées on trouve des vignettes de visages ainsi que des informations sur l'utilisateur. En revanche, il ne s'agit pas d'enregistrements vidéo au complet. Ces données ne devraient tout simplement pas être transférées, ce d'autant que pour la marque, il s'agit d'un argument de vente. On trouvera d'autres témoignages sur ce fil Reddit, et cela ne concerne pas que la sonnette : les caméras aussi sont manifestement concernées.

Encore plus inquiétant, le chercheur indique aussi que les flux provenant des caméras Eufy peuvent être consultées dans des applications comme VLC, il s'agit de streams non chiffrés donc accessibles sans avoir à s'identifier. Il n'en dit pas davantage, mais il est en contact avec le fabricant, lui laissant un peu de temps pour colmater les éventuelles brèches de sécurité.

Mise à jour le 30 novembre : la marque a envoyé un communiqué qui explique certains points. Elle indique que les flux vidéo sont stockés localement et cryptés chiffrés sur l'appareil, ce qui n'entre pas en contradiction avec la possibilité d'accéder aux flux en direct. Pour les vignettes, la société explique qu'elles sont bien envoyées sur les serveurs (gérés par AWS, c'est-à-dire Amazon) mais qu'elles sont effacées automatiquement (le délai n'est pas indiqué) et que seul l'utilisateur peut y accéder. La marque s'engage donc à modifier ses applications pour indiquer explicitement que le choix d'une notification avec une vignette implique l'envoi d'une vignette sur un serveur tiers. Elle explique aussi que ce choix est conforme au RGPD.


Source
Tags
avatar Fanoo | 

Pffff…… Y’en a pas un qui rattrape l’autre…

avatar fredsoo | 

@Fanoo

C’est clair…. Tous des enculés.

avatar j3r3m067 | 

Tous les IoTs que j’ai en wifi ont pour règle réseau de ne pas pouvoir sortir sur internet (freebox profil > IoT > No internet)

avatar garba50 | 

@j3r3m067

Comment es tu notifié des détections alors?
Est ce bien utile un IoT non accessible à distance ? C’est plutôt un LoT (Local network of Thing) non

avatar Crash System | 

@garba50

Par exemple pour homekit tu autorise uniquement ton Apple TV

avatar j3r3m067 | 

@Crash System

C’est exactement ça ;)

avatar 0MiguelAnge0 | 

@garba50

Mes IoTs n’ont pas accés à internet quand bien même, promis, juré, craché, en activant réseau local le fabriquant indique que rien ne sort du LAN… Bein voyons.

Cela dit, j’ai l’accés à distance non pas par des services tiers auxquels je ne ferai jamais confiance mais avec des outils que j’ai dévelopés moi-même.

Et les notifications sont toujours fonctionnelles.

avatar j3r3m067 | 

@garba50

Oui c’est plus du LoT, je me repose sur l’Apple TV qui fait office de hub et de concentrateur, puisque pour les camera j’ai activé le HomeKit secure (pas sûr du no m)

avatar R-APPLE-R | 

@j3r3m067

Oui c’est bien HomeKit secure video HKSV ou HSV 🤔😈

avatar iPop | 

@garba50

« C’est plutôt un LoT (Local network of Thing) non »

Ouf, enfin une explication, je me croyais perdus en mer. 👍🍻

avatar monsieurg33K | 

C’est ce que j’utilise comme caméra, ça incite à la confiance T__T

avatar TheRainb0w | 

@monsieurg33K

C’est pas la première bourde de mémoire …

avatar Smoky | 

Mais non !!! Ils diront que c’est seulement pour l’IA que c’est envoyé…pour la reconnaissance faciale 😜

avatar 421 | 

Je m’étais bricolé (avec un tuto) un système de vidéo surveillance avec un raspberry, une batterie, panneau solaire et carte 4g : aucun problème de confidentialité…

avatar demus | 

Perso, la caméra est désactivée sur l’app Eufy mais jumelée à Homkit donc le flux vidéo ne passe que par Apple.

avatar r e m y | 

Ça, tu ne peux pas en être sûr. Rien n'interdit à la caméra d'envoyer quand même des données à Eufy, puisque les choix de désactivation dans l'app Eufy ne sont pas toujours respectés (même quand tu désactives le cloud dans l'app Eufy, des données leur sont quand même envoyées...).

avatar R-APPLE-R | 

@r e m y

Il faudrait obliger les constructeurs à mettre un cache devant les caméras !

Personnellement je ne suis pas touché ( enfin j’espère ) car j’ai installé mes deux Eufy avec HomeKit Secure Video et sans l’application Eufy ( et de toute façon elle sont dehors…)

Quand je part les Caméras s’activent automatiquement et quand je reviens elle se désactive mais il serait bien que le cache se ferme aussi pour être sur ! Ça devrait être obligatoire 👿

Et mettre des amandes record pour ces boites qui ne respectent rien ! Heureusement que l’ont peut compter sur des personnes très compétentes comme ce monsieur, donc merci à lui 😈

avatar r e m y | 

Il faudrait avoir plus de détail sur la façon dont les caméras communiquent avec les serveurs d'Eufy, mais ça peut très bien être programmé en dur dans le firmware des caméras (un reste de liens URL utilisés dans la phase de déboggage et que les développeurs n'ont pas retiré, par exemple) et être totalement indépendant de l'app Eufy. Dans ce cas, tu serais également concerné par cette communication non désirée (et ça expliquerait que quels que soient les paramétrages dans l'app, pour ceux qui l'utilisent, des données soient quand même envoyées à Eufy)

avatar R-APPLE-R | 

@r e m y

Je ne sais pas 🤔 ça ne me parait quand même pas évident car le flux enregistré par HKSV est crypter ce qui voudrait dire qu’il y aurait 2 flux vidéos distincts… alors que l’ont sait maintenant que des constructeurs retire HKSV qui est trop lourd et trop énergivore et qu’ils n’y arrivent pas.

D’ailleurs 16.2 doit revoir tout le code HomeKit et certainement optimisée ce problème.👿

avatar r e m y | 

On ne parle pas de flux vidéo dans ce qui part chez Eufy mais de "vignettes de visages ainsi que des informations sur l'utilisateur".
Il est bien précisé dans l'article: "En revanche, il ne s'agit pas d'enregistrements vidéo au complet"

Après il y a le 2e problème mis en évidence: "les flux provenant des caméras Eufy peuvent être consultées dans des applications comme VLC, il s'agit de streams non chiffrés donc accessibles sans avoir à s'identifier."

avatar R-APPLE-R | 

@r e m y

«Encore plus inquiétant, le chercheur indique aussi que les flux provenant des caméras Eufy peuvent être consultées dans des applications comme VLC, il s'agit de streams non chiffrés donc accessibles sans avoir à s'identifier. Il n'en dit pas davantage, mais il est en contact avec le fabricant, lui laissant un peu de temps pour colmater les éventuelles brèches de sécurité.»

C’est bien pire car il ne révèle pas tout !👿

avatar Balrog | 

@R-APPLE-R

J’ai mis des interrupteurs connectés sur les miennes qui éteignent l’alimentation de la caméra quand quelqu’un arrive et a mon réveil. Et réactive quand la dernière personne part et au coucher.

avatar R-APPLE-R | 

@Balrog

J’ai aussi mis des prises connectés mais pour les éteindre et rallumer en cas de problème Wifi, mais oui c’est effectivement une solution sauf que de les allumer est éteindre tout le temps elles finissent par ne plus se connecter, j’en ai perdu 2 comme ça rien à faire elles sont morte ☠️👿

avatar Balrog | 

@R-APPLE-R

Mince, moi deux trois ans que j’utilise cette méthode et ça fonctionne toujours

avatar Krysten2001 | 

@r e m y

HomeKit secure sur le routeur par exemple 😉
Voir NextDNS

Mais il me semble que les caméras HomeKit, si configurés en HomeKit, ne peuvent rien envoyer appart à Apple 🤔

avatar r e m y | 

A partir du moment où on parle d'une faille de sécurité, tout est possible. Les règles théoriques qui gèrent ce qui est autorisé ou pas sont susceptibles d'être by-passées!

avatar Krysten2001 | 

@r e m y

Ici on ne parle pas d’une feuille mais du fait que si on dit à l’app d’Eufy non, ça envoie quand même 🤔

avatar r e m y | 

Le chercheur parle bien d'une faille possible "Il n'en dit pas davantage, mais il est en contact avec le fabricant, lui laissant un peu de temps pour colmater les éventuelles brèches de sécurité."

Mais que ce soit une faille ou un choix intentionnel d'envoi même quand on refuse, c'est pareil! Les règles théoriques qui font qu'une fois configurée en HomeKit secured vidéo une camera ne doit envoyer ses données que via Apple peuvent être contournées.

avatar Krysten2001 | 

@r e m y

« Le fabricant propose un service d'hébergement dans le nuage, mais il n'est pas nécessaire et Paul Moore n'y avait pas souscrit. »

On parle ici d’une fonction qu’on n’a pas demandé 🤔

avatar R-APPLE-R | 

Utilisez chez moi en HomeKit secure vidéo seulement et installer sans l’application, mais franchement l’Union européenne devrait mettre une amande record pour que ça n’arrive plus 👿

avatar raoolito | 

@R-APPLE-R

grave

avatar Sindanarie | 

@R-APPLE-R

"une amande record"

Tu parles du mollusque bivalve du même nom ou du fruit de l’amandier? 🙄

avatar R-APPLE-R | 

@Sindanárië

Celle que l’ont se prend dans le c… 😈

avatar Sindanarie | 

@R-APPLE-R

Alors ce n’est pas le bon terme. Merci de ne pas jouer avec la nourriture 😈

avatar R-APPLE-R | 

@Sindanárië

Désolé monsieur ça n’arrivera plus 🥹😈

avatar pagaupa | 

Oh que c’est vilain! Ah ces produits connectés ! Que de la merde…

avatar Mac13 | 

Jamais avec les serveurs (ou clouding si vous voulez requalifier) pour tous les données privées, sensibles et personnelles ! 📛

avatar R-APPLE-R | 

Leurs réponses ne me satisfait pas du tout !

En aucun ca sil n’est fait mention du problème détecter par ce monsieur et comment y remédier !

Même pas : c’est un bug rien !

Genre, si ça passe comme ça ont pourras continuées à espionner les gens !

Désolé c’est pas une réponse et il faudrait porter plainte, et surtout que l’Union européenne s’empare du dossier ! 👿👿👿

avatar Runmac974 | 

Dis-moi, qui était partant pour acheter une ou deux de ses caméras pour Noël, qui me semblait être le meilleur, rapport qualité prix… Et ben non, je vais voir autre chose…

avatar mpqr | 

Bonjour
Il y a quelque chose qui me dérange dans tous ces visiophone vidéo connecté au cloud qui film et enregistre en permanence ne sont-ils pas soumis comme pour la vidéosurveillance au masquage vu qu’ils donne sur la voie publique ou voisin ?
il me semble même que c’est interdit ?

avatar lmouillart | 

Oui il est totalement interdit de filmer la voie publique, sauf pour autorités publiques compétentes.
Filmer chez ses voisins est tout aussi interdit.

avatar TiTwo102 | 

Quand j’ai cherché pour mettre des cameras chez moi, je suis finalement parti sur un NAS synology avec Surveillance station après avoir tout étudié encore et encore.

Quand je vois le nombre de news de cameras connectées au cloud qui respectent rien niveau vie privée, ou avec des failles de sécurité énorme, je regrette pas le temps passé à tout configurer.

avatar Krysten2001 | 

@TiTwo102

Logitech, Eve. Tout HomeKit 😉

avatar iPop | 

An tout cas bravo.
Après les armes, maintenant les vidéos caméra espions, la confiance règne. 🌈

CONNEXION UTILISATEUR