Les vidéos des caméras Eufy sont bien envoyées dans le nuage sans que l'utilisateur ne soit au courant
Ça se complique pour Eufy. Le fabricant commercialise des caméras connectées pour lesquelles il affirme que toutes les vidéos sont stockées localement et partagées de manière chiffrée. Il semblerait pourtant que les images des caméras soient accessibles à distance à partir d'un simple flux vidéo à entrer dans un logiciel comme VLC.
En début de semaine, le constructeur de caméras connectées a été accusé de transférer automatiquement des données sur ses serveurs, même lorsque les fonctions de stockage dans le nuage sont désactivées. Le chercheur en sécurité Paul Moore affirmait même qu'il était possible de démarrer un stream à distance, et cela sans aucun identifiant ni mot de passe. Le fabricant a immédiatement démenti cette accusation, mais a reconnu envoyer certaines données dans le nuage.
The Verge s'est adonné à quelques tests et confirme la faille : les journalistes ont pu visionner des images provenant de leurs caméras Eufy à distance via un flux lancé sur VLC. Cela prouve qu'Eufy a bien un moyen de contourner le chiffrement et d'accéder à ses caméras « sécurisées » par le cloud.
Si les journalistes ont obtenu le flux en utilisant une méthode impliquant de connaître leurs identifiants, ils affirment que l'adresse se compose en grande partie du numéro de série des caméras encodé en Base64. Autrement dit, il n'est pas bien compliqué de le décoder avec de simples outils en ligne.
De plus, ces numéros de série sont rarement cachés : ils sont parfois directement présents sur la boîte de certains produits. Une personne mal intentionnée pourrait aller noter les numéros en magasins, ou encore revendre des caméras dont elle a réussi à extraire les adresses des flux. Heureusement, les numéros de série ne se suivent pas : il ne sera pas possible d'en deviner plusieurs à la chaîne.
L'adresse se compose ensuite d'un horodatage Unix ainsi que d'un token que les serveurs d'Eufy ne semblent pas valider : là non plus, rien de bien compliqué pour d'éventuels pirates. Il utilise enfin un hexadécimal aléatoire à quatre chiffres qui pourrait facilement être forcé (65 536 combinaisons). Les choses semblent bouger du côté du fabricant, et The Verge explique que certaines méthodes ont été bloquées depuis la diffusion de l'article, mais qu'une des adresses de flux continue de fonctionner.
Cet article vient s'ajouter aux critiques pointées par Paul Moore en début de semaine. Le chercheur en sécurité affirmait notamment que la clef de chiffrement utilisée par Eufy était simplement « ZXSecurity17Cam@ » et que des données (comme les vignettes photo) étaient envoyées sur les serveurs d'Eufy sans demander le consentement de l'utilisateur.
J’ai une caméra Eufy qui filme chez moi la porte d’entrée. Je m’en sers uniquement via HomeKit.
On peut faire quoi exactement ? Tout débrancher ?
D’autres marques à conseiller ?
J’ai jamais réussi à paramétrer cette caméra pour enregistrer lorsqu’elle détectait quelqu’un durant mon absence de toute façon…
@Koaster
J’ai mis la mienne sur une prise connectée qui ne s’allume que lorsque je suis absent. Et se désactive lorsque j’arrive. Elle filme donc uniquement en mon absence.
@Stéf06
idem
@Stéf06
Très bonne idée 👍
@Koaster
A l’installation et la connexion à HKSV cela marchait … puis un jour plus d’enregistrement.
J’ai retourné tous les forums internet sans trouver de réponse à notre problème avant il y a qq semaines …
Il faut maintenir activé la détection de mouvement dans l’App Eufy pour que cela fonctionne dans l’App Maison avec le paramètre « enregistrer quand il n’y a personne à la maison ».
Maintenant dans le contexte de l’article, est-ce rassurant ? …
Par contre le message de d’autres dans le forum m’interpelle. On peut connecter les cal Eufy directement dans Maison sans passer par un compte Eufy ?
La redaction de MacG pourrait peut-être confirmer mais il me semble qu’il y a quelques années, il y avait eu un incident avec Eufy, notamment certains utilisateurs se sont retrouvés avec le flux des caméras d’autres utilisateurs. 🤦🏻♂️🤓
(Edit) - j’ai retrouvé le lien de article : https://www.igen.fr/domotique/2021/05/eufy-un-bug-permet-dacceder-aux-cameras-dautres-utilisateurs-122517
Merci je vais pouvoir jeter ma caméra .
Et ne plus acheter cette marque
Hello. J’ai une caméra eufy. J’ai activé HomeKit et je ne me sert donc que du stockage sécurisé d’Apple sur iCloud. Est ce que mes vidéos partent quand même chez Anker?
Donnez nous des recommendations d'autres caméras. Et modèles équivalents.
Et qui sont "sécurisées"... jusqu'à ce qu'on nous annonce une autre faille...
J'aimais bien le prix des Eufy et la facilité d'installation / utilisation. Et surtout pas d'abonnement.
Avant on avait une Logitech. Moins bon... et obligatoire avec abonnement pour sauvegarder les détections de quelques jours.
Les Arlo ? TP link ?
@thierry37
Les Logitech qui sont compatible HomeKit secure video ont un fonctionnement différent et plus rassurant, je m’explique…
Quand vous les installer, vous le faites avec l’application de Logitech mais il vous préviens que si vous les passer en HSV vous ne pourrais plus revenir en arrière et que l’application Logitech ne sera plus fonctionnel.😈
Attention on est pas sur du matos pro et hors de prix, leur principal modèle est une caméra à 50€, de bonne qualité, compatible HomeKit. Une fois ce bug (ou cette faille volontaire…) corrigé elle sera parfaite pour son prix
Ceux qui envisagent de se débarrasser de leurs caméras Eufy, ça peut m’intéresser, tout dépend du modèle. Merci
J'ai re-relu l'article et les infos chez les sites US..
Il faut bien avoir le numéro de série de la caméra, pour composer l'adresse du flux vidéo ?
C'est un gros bug (ou faille), mais faudrait avoir mon numéro de série pour voir ce qui se passez devant chez moi..
Donc c'est pas comme si tout le monde peut voir chez moi.
Ça diminue un peu le risque global, non ?
De la source TheVerge,
"On the plus side, Eufy’s serial numbers are long at 16 characters and aren’t just an increasing number. “You’re not going to be able to just guess at IDs and begin hitting them,"
J’utilise les caméras Aqara, je croise les doigts pour qu’il n’y ai pas les mêmes problèmes….
La mise à jour de ce soir annonce la couleur.
Pages