Les vidéos des caméras Eufy sont bien envoyées dans le nuage sans que l'utilisateur ne soit au courant

Félix Cattafesta |

Ça se complique pour Eufy. Le fabricant commercialise des caméras connectées pour lesquelles il affirme que toutes les vidéos sont stockées localement et partagées de manière chiffrée. Il semblerait pourtant que les images des caméras soient accessibles à distance à partir d'un simple flux vidéo à entrer dans un logiciel comme VLC.

Eufy Indoor Cam 2K.

En début de semaine, le constructeur de caméras connectées a été accusé de transférer automatiquement des données sur ses serveurs, même lorsque les fonctions de stockage dans le nuage sont désactivées. Le chercheur en sécurité Paul Moore affirmait même qu'il était possible de démarrer un stream à distance, et cela sans aucun identifiant ni mot de passe. Le fabricant a immédiatement démenti cette accusation, mais a reconnu envoyer certaines données dans le nuage.

The Verge s'est adonné à quelques tests et confirme la faille : les journalistes ont pu visionner des images provenant de leurs caméras Eufy à distance via un flux lancé sur VLC. Cela prouve qu'Eufy a bien un moyen de contourner le chiffrement et d'accéder à ses caméras « sécurisées » par le cloud.

Si les journalistes ont obtenu le flux en utilisant une méthode impliquant de connaître leurs identifiants, ils affirment que l'adresse se compose en grande partie du numéro de série des caméras encodé en Base64. Autrement dit, il n'est pas bien compliqué de le décoder avec de simples outils en ligne.

De plus, ces numéros de série sont rarement cachés : ils sont parfois directement présents sur la boîte de certains produits. Une personne mal intentionnée pourrait aller noter les numéros en magasins, ou encore revendre des caméras dont elle a réussi à extraire les adresses des flux. Heureusement, les numéros de série ne se suivent pas : il ne sera pas possible d'en deviner plusieurs à la chaîne.

L'adresse se compose ensuite d'un horodatage Unix ainsi que d'un token que les serveurs d'Eufy ne semblent pas valider : là non plus, rien de bien compliqué pour d'éventuels pirates. Il utilise enfin un hexadécimal aléatoire à quatre chiffres qui pourrait facilement être forcé (65 536 combinaisons). Les choses semblent bouger du côté du fabricant, et The Verge explique que certaines méthodes ont été bloquées depuis la diffusion de l'article, mais qu'une des adresses de flux continue de fonctionner.

Page produit de la caméra Eufy Security 2K sur Amazon.

Cet article vient s'ajouter aux critiques pointées par Paul Moore en début de semaine. Le chercheur en sécurité affirmait notamment que la clef de chiffrement utilisée par Eufy était simplement « ZXSecurity17Cam@ » et que des données (comme les vignettes photo) étaient envoyées sur les serveurs d'Eufy sans demander le consentement de l'utilisateur.


Tags
avatar thierry37 | 

Merci pour info.
J'ai 2 caméras Eufy pour la maison.
Je vais aller voir si Amazon vont me le reprendre... vieille de quelques mois.

Dommage. J'aimais bien eufy.

Et je ne faisais rien dans le nuage. Tout en "local"....

avatar 0MiguelAnge0 | 

@thierry37

J’ai une caméra homekit: je bloque tout qui sortirait de mon réseau local au niveau du firewall, quoique puisse affirmer le fabriquant sur le mode ‘local’ qu’il propose également.

avatar Gagolak | 

Est-ce que cela concerne uniquement l’utilisation avec les apps de la marque ou aussi via HomeKit ?

avatar MattEyraud | 

@Gagolak

Vous pouvez bloquer l’accès à internet des caméras qui sont connectées en HomeKit dans les réglages de votre routeur.
Cela devrait “a priori” empêché l’envoi du flux.

Mais elles resteront accessibles via HomeKit.

avatar GaelW-Mac | 

Mwai enfin il faut connaître le numéro de série, l’identifiant et le mot de passe. Un peu compliqué pour se faire siphonner les flux.
Perso je conserve les miennes.

avatar dorninem | 

@GaelW-Mac

Pas besoin de mot de passe.. Relisez

avatar Chris K | 

@GaelW-Mac

Il y a tromperie et ce qu’ils font est illégal… mais tout va bien 👍

avatar MGA | 

Hors sujet : Eufy fait partie du groupe Anker d’après leur site.

C’est un véritable scandale il ne s’agit pas d’une faille mais bien d’une tromperie sur plusieurs points différents et sans lien.

Au delà, je n’ai jamais compris les personnes qui s’équipent de caméras connectées, l’utilité réelle me semble toujours aussi ridicule comparé au coût, et aux risques.

avatar Gillesgilles2 | 

@MGA

Très utile , je loue des Chalet et le camera dans l’entrée me permette de voir si le nombre de personnes inscrit au contrat est respecté .

Surveillance aussi d’intrusion et de voleur lorsque l’immeuble n’est pas occupé

avatar MGA | 

@Gillesgilles2

Dans le cadre d’une vidéo surveillance et d’une activité professionnelle évidemment mais il y a des produits adaptés pour ça. Les caméras Eufy sont des produits destinés au grand public ce n’est pas comparable.

avatar Inconnue 67 | 

@Gillesgilles2

Et vos clients, ils sont au moins prévenus en amont, de cette intrusion dans leur intimité ? 🤔

Perso, je ne me sentirais pas en confiance dans vos chalets ; sachant qu'à tout moment vous pouvez activer la surveillance vidéo et audio... 🫣 😕

avatar Gillesgilles2 | 

@Inconnue 67

Ce n’est pas dans le chalet aucunement , c’est à l’extérieur pointant sur le stationnement et l’entrée principal

Et oui c’est écrit dans le contrat qu’il y a une caméra de surveillance à l’extérieur

avatar spb | 

@Gillesgilles2

Donc j’imagine que la finalité du traitement, à savoir contrôler le nombre de personnes hébergées - comme vous venez de l’évoquer - est décrite dans votre registre RGPD

avatar duke_fsc | 

@spb
@AutresDonneursDeLecons

Ce sont vos oignons ? Je ne crois pas….

avatar spb | 

@duke_fsc

🤣😂🤣

avatar roccoyop | 

Est-ce VRAIMENT le sujet de l'article ?

Franchement, il y a des gens qui ne peuvent pas s'empêcher de se mêler de la vie des autres... 😓

avatar spb | 

@roccoyop

est-ce VRAIMENT le sujet de l’article ?

Titre de l’article :
« Les vidéos des caméras Eufy sont bien envoyées dans le nuage sans que l'utilisateur ne soit au courant »

sans que l’utilisateur ne soit au courant…

C’ est pourtant le point clé de cette phrase…

Peut importe le nom, Eufy/Anker, société X, société Y ou ce Monsieur : ce sont nos donnés qui fuitent, par causes de failles fortuites, négligences, malveillance.

Il ne vous ait pas venu à l’esprit que ce retour d’expérience puisse aider cette personne à s’éviter d’éventuels problèmes. Non vous préférez penser de façon rotor que l’on se mêle de la vie des autres.

SUJET CLOS

avatar roccoyop | 

@spb

Oui, vaut mieux 👍🏻

avatar Gillesgilles2 | 

@spb

Bien sûr , le tarif d’hébergement est en fonction du nombre de personne et de lit occupé .

Les gens doivent remplir le nom de chaque personne

Le chalet a une capacité de 8 personnes , je ne veux pas me retrouver avec une fête de 20 personnes.

avatar Paquito06 | 

@Inconnue 67

“Et vos clients, ils sont au moins prévenus en amont, de cette intrusion dans leur intimité ? 🤔 “

Ce n’est pas exactement cela:

https://www.cnil.fr/fr/la-videosurveillance-videoprotection-chez-soi

avatar spb | 

@Paquito06

Oui pour une vidéosurveillance chez soi… et dans un cadre privatif.
Dans le cadre de locations de chalets, c’est une personne morale

avatar Paquito06 | 

@spb

“Oui pour une vidéosurveillance chez soi… et dans un cadre privatif.
Dans le cadre de locations de chalets, c’est une personne morale”

Et meme pour l’exterieur (cas ici)?

avatar spb | 

@Paquito06

Le dispositif peut être à l’extérieur néanmoins il reste installé sur un terrain privé (et théoriquement ne pas pouvoir filmer la voie publique).
Ici le sujet est interessant car dans le cadre d’une activité commerciale locative - donc une personne morale - un registre des traitements RGPD doit être tenu, puisque les clients sont filmés.
Quid de la finalité du traitement (à quoi servent ces données, à qui sont elles destinées, délais de rétention etc)

avatar Inconnue 67 | 

@Paquito06

Euh... 🤔 Je n'ai pas compris où vous vouliez en venir...
J'ai posé une question à Gilles (👉 Est-ce que ses clients/locataires sont prévenus de cette intrusion dans leur intimité ?) ; et vous me répondez « ce n'est pas exactement cela »... 🤨

Dois-je comprendre que pour vous, la présence de caméras/vidéosurveillance, ne porte pas atteinte à la vie privée des personnes filmées ?? Ce n'est pas une intrusion dans leur intimité ??
Ça ne vous dérange pas, d'être potentiellement filmé/surveillé à votre insu ?? 🤔

Par ailleurs, la page de la CNIL vers laquelle vous renvoyez, traite de la vidéosurveillance "chez soi" dans un cadre privé... (Le cadre locatif n'est pas abordé...)
Mais vous devriez quand même la relire ; car même dans la sphère privée il y a des règles à respecter.
Dans tous les cas, ces dispositifs de vidéosurveillance ne doivent pas porter atteinte à la vie privée d'autrui.
De plus, il est interdit de capter des images d'une personne à son insu dans un lieu privé.

ℹ️ https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000042193566

avatar ohmydog | 

@Gillesgilles2

J’espère que tes locataires sont au courant, qu’ils sont bien informés parce que sinon c’est complètement interdit par la cnil

avatar backfromcharly | 

@Gillesgilles2

J’ai loué cet été une maison en Bretagne et oh surprise y’avait des caméras à l’extérieur (vue jardin) et à l’intérieur vue porte d’entrée et véranda. J’ai débranché la Livebox en arrivant. Message du proprio qui me prie de vérifier si la Livebox fonctionne correctement😂😂😂. J’ai fait le pinpin en disant que moi et la technologie ça faisait deux 🫣🫣🫣 Livebox rebranchée en partant 🤫

avatar John McClane | 

@backfromcharly

👍👍👍
Du coup ça t’a permis de faire des galipettes peinard dans la véranda 😜

avatar Inconnue 67 | 

@backfromcharly

Eh ben... Ça devient flippant quand même, ces caméras de partout, je trouve ça hyper intrusif ! 😨

Vous avez eu le bon réflexe de débrancher la Livebox. 😅👍
(Ça empêche au moins la transmission/diffusion du flux en direct... D'ailleurs j'imagine la frustration du proprio devant son écran noir... 🤭😂)

En revanche, pas sûr que cela soit suffisant pour préserver son intimité, de nos jours... 🤔
Ne pas oublier que les caméras peuvent enregistrer sur mémoire interne ou supports externes...
Sans parler des caméras/micros miniatures planqués dans des objets déco...

Bref. Y'a de quoi devenir parano ! 🫣 🤯 😰 👿

avatar thierry37 | 

@Inconnue 67

Vous avez vachement raison !!
Le proprio ne pouvait pas regarder en direct.. mais tout a été sauvegardé sur la carte mémoire. 😉

avatar Inconnue 67 | 

@thierry37

Ahhh c'était donc vous, le proprio en question ? lol 😜

J'en connais un qui doit avoir des sueurs froides maintenant... 🫣😰

J'en plaisante là ; mais en vrai, c'est pas drôle.
On n'est jamais à l'abri de tomber sur des gens tordus, ou des proprios qui se croient tout permis sous prétexte de location...

avatar laraigneegypsymontealagouttiere | 

@MGA

Ce n’est pas parce que tu ne comprends pas quelque chose que c’est forcément inutile et ridicule 🙄

avatar MGA | 

@laraigneegypsymontealagouttiere

J’ai bien écrit que ça « me semble » par opposition à « c’est » c’est donc bien un avis personnel. La nuance est importante 🙄

avatar Paquito06 | 

Ca a l’air assez faible la securite chez Eufy. Depuis combien de temps les clients qui utilisent ce materiel se font ils espionner par des malandrins sans que personne ne s’en soit rendu compte?

avatar John McClane | 

@Paquito06

Perso ça fait bien deux ou trois ans que je mate les flux vidéos des lecteurs de MacG. Mais bon c’est rarement croustillant, je crois que je vais bientôt arrêter.

avatar Adodane | 

Avec VLC c'est les flux locaux de la camera qu'ils lisent, quel rapport avec le cloud ?

avatar kafy28 | 

J’ai deux camera Eufy et j’ai toujours été surpris que, bien qu’elles soient intégrée à HomeKit, l’appli Eufy peut toujours accéder aux flux.

Je pensais que HomeKit secure vidéo d’Apple bloquait les flux qui ne passent bon pas par lui quand il est configuré.

Et maintenant cette nouvelle info.

Les sociétés informatiques traiteraient elles la sécurité de nos données personnelles de manière légère en habillant leurs médiocrité techniques d’une bonne couche bien grasse de marketing ?

avatar shaba | 

@kafy28

Normalement si tu éteins la caméra dans l’app eufy, la vidéo ne transitera plus que par les serveurs HomeKit. Enfin ça c’est normalement.

avatar Splinter | 

@shaba

Le problème c’est que l’app Eufy propose plus de fonctionnalités. Notamment tu peux bouger la caméra (gauche, droite, haut, bas). Je ne comprends pas que ce ne soit pas possible dans l’app Maison.

avatar shaba | 

@Splinter

J’ai aussi des caméras eufy je vois bien de quoi tu parles. Oui, dommage qu’homekit ne gère pas encore ça.

avatar monsieurg33K | 

@Splinter

C’est vrai que c’est embêtant, du coup j’avais pris le cloud Eufy.

avatar R-APPLE-R | 

@kafy28

Vous avez certainement et normalement ( obligatoirement ) donner l’accès à HomeKit à l’application Eufy ce qui expliquerait cela.

J’ai une Application qui s’appelle HomeCam très pratique je suis en HKSV et j’ai installé les caméras Eufy sans l’application Eufy et elles sont visible dans cette application.

Vérifier la compatibilité HKSV de vos caméras ensuite faites un reset et réinstaller les caméras juste avec HKSV 😉😈

avatar kafy28 | 

@R-APPLE-R

Merci pour le conseil.

Ce qui me dérange c’est que d’après ce que j’ai compris, HKSV utilise le concentrateur (HomePod, Apple TV…) pour crypter et gérer le flux directement vers l’iPhone. Donc normalement les applis tierces ne devraient plus accéder aux flux vidéo puisqu’il est sous le contrôle de HomeKit Secure Vidéo.

Mais ce n’est pas le cas. L’app Eyfy accède toujours aux fous vidéo même si je supprime les droits de l’appli Eufy à accéder à HomeKit.

Tout ça ne me plait pas, ni de la part d’Eufy, ni de la part d’Apple.

avatar R-APPLE-R | 

@kafy28

Supprimer les caméras Eufy de HomeKit.

Supprimer les caméras de l’application Eufy.

Déconnecté vous de l’application Eufy très important, et faite un reset des caméras.

Supprimer l’application Eufy et re-télécharger la.

Réinstaller les caméras directement avec HKSV sans passer par l’application Eufy.

Ensuite ouvrez l’application Eufy ne donner pas l’autorisation à HomeKit quand l’application vous le demande.

Et la vous pourrez potentiellement voir si l’application Eufy à effectivement accès au flus video sans autorisation !

Ensuite envoyer moi un message pour me dire 😁 bon courage 😈

avatar kafy28 | 

@R-APPLE-R

Olala !!! Des devoirs !!! J’en ai pour le week-end 😁

Merci pour la manip. Je vais tester. Mais il me semble que mes camera Eufy n’était pas configurable directement dans HomeKit et devait passer obligatoirement par l’app Eufy. Et c’est dans l’app Eufy qu’on donnait à HomeKit l’accès à travers un portail HomeKit.

avatar R-APPLE-R | 

@kafy28

Si elles ont le QR Code derrière elle sont compatible il vous suffira juste de scanner le QR Code de la base et puis ensuite rajouter les caméras à la base.

Et si vous voulez allez plus loin et si les caméras sont filaire il vous suffit de rajouter des prise connectés dessus qui avec une automatisation vous permet de faire en sorte que quand vous partez la prise s’allume et quand vous rentrez la prise s’éteint… et ça fait des économies d’énergie ( sauf que chez moi j’ai perdu 2 caméra qui ne veulent plus se connecter en Wifi et c’est deux marques différentes ) 😈

avatar koko256 | 

Il faut que l'un des propriétaires de ces caméras saisisse la CNIL. Normalement ils sont condamnables.

avatar huexley | 

j'espère qu'ils peuvent faire le tri dans leur DB avec des tags "blonde" + "forte poitrine" pour trier les flux :D

Par contre pour leur password c'est quand même bien plus fort que "alpine"

avatar thefutureismylife | 

J’ai mon routeur avec la fonctionnalité Homekit Secure, les caméras sont en « automatique » ça empêcherait de tels fluxs d’être envoyé au constructeur ?
Pas sûr non ?

avatar R-APPLE-R | 

@thefutureismylife

Normalement c’est chiffré et ne passe que par les serveurs d’Apple donc normalement oui enfin j’espère ( bien qu’elles soient dehors ).

Il faut noter et dire au gens aussi qu’il est possible ( en vérifiant la compatibilité ) qu’il est possible de se passer complètement de l’application Eufy et les installer directement en HKSV 😉😈

avatar palmp | 

Je cherchais justement cette question dans les commentaires. C’est normalement le but de cette fonction pour les routeurs compatibles il me semble (mais de moins en moins de routeurs semblent annoncer cette compatibilité alors que plus que jamais le besoin est la)

Édit: en regardant de plus près seul le réglage sur « limiter à Maison » est clair, puisque « automatique » revient à accepter la communication avec certains services et ici c’est ambigu puisque si constructeur offre un service cloud par exemple il faut bien que le flux soit transmis.

Pages

CONNEXION UTILISATEUR