Eufy ne se presse pas pour communiquer sur ses problèmes de sécurité. Plusieurs semaines après les révélations sur certains manquements flagrants en matière de confidentialité, le fabricant de caméra de sécurité connectée a partagé un billet de blog dans lequel il donne quelques précisions sur des failles révélées récemment. Cependant, il ne s'excuse pas directement et omet de répondre à certaines questions fâcheuses.

Tout a commencé au début du mois : un chercheur a mis en lumière plusieurs failles importantes dans la sécurité des produits Eufy. Il a notamment révélé qu'il était possible de lancer un flux vidéo à distance sans que l'utilisateur ne soit au courant, mais aussi que l'entreprise envoyait des vignettes et des informations dans le nuage. Deux éléments problématiques quand on sait que la société vantait des produits garantissant de tout stocker localement sans avoir à utiliser le nuage. Elle a depuis revu ses arguments marketing en supprimant la mention « tout en local » de ses engagements en matière de confidentialité.

Le fabricant affirme dans son billet « qu'aucune donnée utilisateur n'a été exposée » et que « les failles de sécurité potentielles discutées en ligne sont spéculatives ». Cependant, Eufy concède qu'il y a « une faille de sécurité » sur la fonction Live View de son portail web. L'entreprise n'entre pas pour autant dans les détails.

Aujourd'hui, les utilisateurs peuvent toujours se connecter à notre portail Web eufy.com pour visualiser les flux en direct de leurs caméras. Cependant, les utilisateurs ne peuvent plus visualiser les flux en direct (ou partager des liens actifs vers ces flux en direct avec d'autres personnes) en dehors du portail Web sécurisé d’Eufy. Toute personne souhaitant visualiser ces liens doit d'abord se connecter au portail Web eufy.com.

Le billet revient également sur le problème des données envoyées dans le nuage : des images tirées des caméras et comprenant parfois des visages étaient transmises sur les serveurs d'Eufy sans que l'utilisateur ne soit prévenu afin de proposer des notifications push avec photo. Eufy affirme que ces images sont chiffrées de bout en bout et rappelle qu'elle a mis à jour son application pour mieux expliquer la manipulation aux clients.

Eufy termine en insistant sur le fait que tous les processus de reconnaissance faciale et biométrique sont réalisés localement sur l'appareil de l'utilisateur. En transférant une photo dans l'app, il est possible de faire en sorte que les caméras reconnaissent certaines personnes afin d'éviter d'envoyer de fausses alertes. « Ces informations ne sont jamais traitées dans le nuage », affirme l'entreprise.

Le billet n'aborde pas les points les plus inquiétants relayés par un chercheur en sécurité, comme le fait que des caméras (censées travailler de manière chiffrée de bout en bout) produisent un flux non chiffré ou que l'adresse de celui-ci ne soit pas redoutablement bien cachée. Eufy reconnaît cependant que ce post concernant la situation est arrivé bien trop lentement : l'entreprise se dit consciente « de la nécessité d'une communication plus directe et plus rapide sur ces questions ».