Ouvrir le menu principal

iGeneration

Recherche

Les vidéos des caméras Eufy sont bien envoyées dans le nuage sans que l'utilisateur ne soit au courant

Félix Cattafesta

Friday 02 December 2022 à 18:00 • 65

Domotique

Ça se complique pour Eufy. Le fabricant commercialise des caméras connectées pour lesquelles il affirme que toutes les vidéos sont stockées localement et partagées de manière chiffrée. Il semblerait pourtant que les images des caméras soient accessibles à distance à partir d'un simple flux vidéo à entrer dans un logiciel comme VLC.

Eufy Indoor Cam 2K.

En début de semaine, le constructeur de caméras connectées a été accusé de transférer automatiquement des données sur ses serveurs, même lorsque les fonctions de stockage dans le nuage sont désactivées. Le chercheur en sécurité Paul Moore affirmait même qu'il était possible de démarrer un stream à distance, et cela sans aucun identifiant ni mot de passe. Le fabricant a immédiatement démenti cette accusation, mais a reconnu envoyer certaines données dans le nuage.

The Verge s'est adonné à quelques tests et confirme la faille : les journalistes ont pu visionner des images provenant de leurs caméras Eufy à distance via un flux lancé sur VLC. Cela prouve qu'Eufy a bien un moyen de contourner le chiffrement et d'accéder à ses caméras « sécurisées » par le cloud.

Si les journalistes ont obtenu le flux en utilisant une méthode impliquant de connaître leurs identifiants, ils affirment que l'adresse se compose en grande partie du numéro de série des caméras encodé en Base64. Autrement dit, il n'est pas bien compliqué de le décoder avec de simples outils en ligne.

De plus, ces numéros de série sont rarement cachés : ils sont parfois directement présents sur la boîte de certains produits. Une personne mal intentionnée pourrait aller noter les numéros en magasins, ou encore revendre des caméras dont elle a réussi à extraire les adresses des flux. Heureusement, les numéros de série ne se suivent pas : il ne sera pas possible d'en deviner plusieurs à la chaîne.

L'adresse se compose ensuite d'un horodatage Unix ainsi que d'un token que les serveurs d'Eufy ne semblent pas valider : là non plus, rien de bien compliqué pour d'éventuels pirates. Il utilise enfin un hexadécimal aléatoire à quatre chiffres qui pourrait facilement être forcé (65 536 combinaisons). Les choses semblent bouger du côté du fabricant, et The Verge explique que certaines méthodes ont été bloquées depuis la diffusion de l'article, mais qu'une des adresses de flux continue de fonctionner.

Page produit de la caméra Eufy Security 2K sur Amazon.

Cet article vient s'ajouter aux critiques pointées par Paul Moore en début de semaine. Le chercheur en sécurité affirmait notamment que la clef de chiffrement utilisée par Eufy était simplement « ZXSecurity17Cam@ » et que des données (comme les vignettes photo) étaient envoyées sur les serveurs d'Eufy sans demander le consentement de l'utilisateur.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Portrait-robot des iPhone 16 et 16 Pro : une gamme avec une touche en plus

20/07/2024 à 09:00

• 32


L'homme qui a tenté de tuer Donald Trump avait un Samsung, et non un iPhone

20/07/2024 à 08:00

• 59


L'application Apple TV d'Orange est disponible 🆕

19/07/2024 à 18:35

• 163


Apple continuerait d'enrichir Apple TV+ avec un catalogue de films existants, y compris hors des États-Unis

19/07/2024 à 18:15

• 5


Google Maps peut signaler les incidents sur CarPlay

19/07/2024 à 16:45

• 17


Apple ajoute les Jeux olympiques en 3D dans Plans

19/07/2024 à 13:45

• 33


Netflix va basculer les abonnés Essentiel en France sur la formule avec des publicités

19/07/2024 à 12:30

• 41


Free Mobile active enfin à son tour les SMS Wi-Fi

19/07/2024 à 11:45

• 28


Windows : une mise à jour d’un antivirus cause une panne à l’échelle mondiale

19/07/2024 à 11:04


Google Home récupère une voix plus suave sans prévenir les utilisateurs

19/07/2024 à 10:55

• 5


Mini-test des chargeurs Qi2 de Belkin : des accessoires bien positionnés

19/07/2024 à 10:00

• 7


Promo : l'iPad 9 (2021) à 299 € !

19/07/2024 à 09:06

• 23


Test des Baets, ces étranges écouteurs filaires mais Bluetooth venus de Chine

18/07/2024 à 20:30

• 8


Nintendo annonce un chargeur externe pour Joy-Con, pratique pour les joueurs iPhone

18/07/2024 à 18:30

• 24


Apple a changé d'avis et accepté UTM sur l'App Store

15/07/2024 à 10:19


10 mois après sa sortie, l'iPhone 15 Pro est-il la « meilleure console de jeux » annoncée par Apple ?

14/07/2024 à 14:27