Eufy communique sur ses problèmes de confidentialité mais évite les questions qui fâchent
Eufy ne se presse pas pour communiquer sur ses problèmes de sécurité. Plusieurs semaines après les révélations sur certains manquements flagrants en matière de confidentialité, le fabricant de caméra de sécurité connectée a partagé un billet de blog dans lequel il donne quelques précisions sur des failles révélées récemment. Cependant, il ne s'excuse pas directement et omet de répondre à certaines questions fâcheuses.
Tout a commencé au début du mois : un chercheur a mis en lumière plusieurs failles importantes dans la sécurité des produits Eufy. Il a notamment révélé qu'il était possible de lancer un flux vidéo à distance sans que l'utilisateur ne soit au courant, mais aussi que l'entreprise envoyait des vignettes et des informations dans le nuage. Deux éléments problématiques quand on sait que la société vantait des produits garantissant de tout stocker localement sans avoir à utiliser le nuage. Elle a depuis revu ses arguments marketing en supprimant la mention « tout en local » de ses engagements en matière de confidentialité.
Le fabricant affirme dans son billet « qu'aucune donnée utilisateur n'a été exposée » et que « les failles de sécurité potentielles discutées en ligne sont spéculatives ». Cependant, Eufy concède qu'il y a « une faille de sécurité » sur la fonction Live View de son portail web. L'entreprise n'entre pas pour autant dans les détails.
Aujourd'hui, les utilisateurs peuvent toujours se connecter à notre portail Web eufy.com pour visualiser les flux en direct de leurs caméras. Cependant, les utilisateurs ne peuvent plus visualiser les flux en direct (ou partager des liens actifs vers ces flux en direct avec d'autres personnes) en dehors du portail Web sécurisé d’Eufy. Toute personne souhaitant visualiser ces liens doit d'abord se connecter au portail Web eufy.com.
Le billet revient également sur le problème des données envoyées dans le nuage : des images tirées des caméras et comprenant parfois des visages étaient transmises sur les serveurs d'Eufy sans que l'utilisateur ne soit prévenu afin de proposer des notifications push avec photo. Eufy affirme que ces images sont chiffrées de bout en bout et rappelle qu'elle a mis à jour son application pour mieux expliquer la manipulation aux clients.
Suite à ses manquements, Eufy prévient maintenant de l'envoi de données dans le nuage
Eufy termine en insistant sur le fait que tous les processus de reconnaissance faciale et biométrique sont réalisés localement sur l'appareil de l'utilisateur. En transférant une photo dans l'app, il est possible de faire en sorte que les caméras reconnaissent certaines personnes afin d'éviter d'envoyer de fausses alertes. « Ces informations ne sont jamais traitées dans le nuage », affirme l'entreprise.
Le billet n'aborde pas les points les plus inquiétants relayés par un chercheur en sécurité, comme le fait que des caméras (censées travailler de manière chiffrée de bout en bout) produisent un flux non chiffré ou que l'adresse de celui-ci ne soit pas redoutablement bien cachée. Eufy reconnaît cependant que ce post concernant la situation est arrivé bien trop lentement : l'entreprise se dit consciente « de la nécessité d'une communication plus directe et plus rapide sur ces questions ».
"Le billet n'aborde pas les points les plus inquiétants relayés par un chercheur en sécurité, comme le fait qu'il soit possible d'accéder au flux en direct d'une caméra à distance, ou que l'adresse du flux en question ne soit pas redoutablement bien cachée"
Ils y répondent bien, puisqu'ils disent que desormais ces flux restent accessibles mais uniquement depuis le site sécurisé d'Eufy après identification. Donc ces flux en direct ne doivent plus être accessibles par un tiers même s'il connaît (ou a su reconstituer) l'URL.
J’ai une caméra Eufy dans l’entrée concrètement faut faire quoi ? Tout débrancher ? 😅
@Koaster
Si tu as peur que quelqu’un ait accès au n° de série de ta caméra, et qu’il connaît l’astuce pour se brancher dessus, et qu’il ait une folle envie de regarder ton entrée et que le fait que quelqu’un puisse regarder ton entrée te gêne, alors oui, il faut débrancher.
@roccoyop
Tout est dit 👍🏻
Mais Eufy dit que ce n'est plus possible à un tiers d'accéder au flux vidéo en direct car il n'est plus accessible que depuis le site sécurisé d'Eufy après identification...
Donc faut-il considérer que le problème est réglé ou ne plus faire aucune confiance à Eufy et changer de marque ?
@Koaster
Réunir toutes les conditions pour t’observer est assez peu vraisemblable je trouve. Pas la peine de paniquer.
@Koaster
Vas-y tu peux pas niquer.
J’en connais qui s’inquiètent de ce genre de problème pas normal quand même hein…. Et qui balance leur vie privée sur Facebook, Insta etc…. 🙄
@fskynet67
Et oui et pire encore, ils disent qu’ils n’ont rien à cacher 😀
C’est bien Eufy, maintenant les acheteurs comme moi éviteront les marques qui ont des absences de réponse fâcheuses …
Je n'ai toujours pas compris sur quel point exactement ils n'ont pas répondu. 🤔
Si quelqu'un peut m'éclairer...
Résultat : quand je ne suis plus chez moi la liste des événements du jour est vide alors qu’il y a bien eu des détections… les caméras sont devenues beaucoup moins utiles du coup.