Une grosse faille de sécurité puis quelques explications : attention à ces caméras et sonnettes connectées

Une histoire rocambolesque

 

Les caméras de surveillance et sonnettes connectées Anker Eufy ont un gros problème de sécurité. Les données censées être stockées localement sont en réalité envoyées sur les serveurs de la firme avec des informations sensibles. Les enregistrements peuvent en outre être visionnés par des personnes tierces grâce à un lecteur tel que VLC. Approchée par The Verge, la marque a tenté de minimiser la situation, puis a commencé à livrer quelques explications.

Une sonnette connectée Eufy // Source : Eufy

Mise à jour 7 décembre : Eufy a mis à jour son application pour donner quelques explications. Plus d’informations en fin de cet article publié initialement le 2 décembre.


Imaginez. Une personne que vous ne connaissez pas — à l’autre bout du monde ou à deux pas de chez vous — peut regarder sur son PC, et sans restriction, tout ce qu’il se passe sur le palier de votre maison ou dans votre jardin. Il y a de quoi être mal à l’aise. C’est pourtant ce qu’il peut se passer avec certaines caméras de surveillance et sonnettes connectées.

En effet, la marque pour maison connectée Eufy, propulsée par Anker, est sous le feu d’acerbes critiques depuis qu’une gigantesque faille de sécurité a été découverte et que des mensonges ont été mis en lumière. Tout commence à la fin du mois de novembre. Le consultant en sécurité informatique, Paul Moore, interpelle Eufy sur Twitter en indiquant avoir « une preuve irréfutable » (en vidéo) que les données enregistrées par sa sonnette connectée, censées être stockées en local, sont en réalité envoyées sur le cloud quand bien même l’option de stockage dans le cloud est désactivée.

You have some serious questions to answer @EufyOfficial

Here is irrefutable proof that my supposedly "private", "stored locally", "transmitted only to you" doorbell is streaming to the cloud – without cloud storage enabled.#privacyhttps://t.co/u4iGgkWkJB

— Paul Moore (@Paul_Reviews) November 23, 2022

Le spécialiste montre notamment que sa sonnette connectée Anker Eufy envoyait les données de reconnaissance faciale (avec des informations permettant d’identifier les personnes) sur les serveurs de la marque. Pau Moore explique également que les éléments ainsi téléchargés n’étaient pas retirés des serveurs d’Eufy lorsque les séquences correspondantes étaient supprimées par l’utilisateur sur son application dédiée.

Des vidéos d’enregistrement accessibles… via VLC

Ce n’est pas tout. L’expert en sécurité informatique s’est rendu compte qu’Eufy peut utiliser les mêmes données de reconnaissance faciale sur deux caméras et deux comptes différents. Une personne peut donc être reconnue à deux endroits différents alors que les données permettant cela sont censées être stockées localement. Paul Moore n’explique pas comment exploiter la faille, mais Android Central a réussi à reproduire cette manipulation sur une caméra EufyCam 3 appairée à une Eufy HomeBase 3.

L’affaire ne s’arrête pas là, bien au contraire. Il a aussi été découvert que les enregistrements des caméras de surveillance et sonnettes d’Eufy n’étaient pas correctement chiffrés. Ainsi, une personne un peu bidouilleuse peut regarder les vidéos en utilisant VLC, le célèbre lecteur vidéo. Une mine d’or pour des personnes mal intentionnées.

Ah well, the cats out the bag now… so may as well tell you.

You can remotely start a stream and watch @EufyOfficial cameras live using VLC. No authentication, no encryption.

Please don't ask for a PoC – I can't release this one.

Heads up @TechLinkedYT @LinusTech https://t.co/sU3FyRaELX

— Paul Moore (@Paul_Reviews) November 25, 2022

Mensonges

Un porte-parole d’Anker affirmait pourtant avec aplomb à The Verge qu’il n’était « pas possible de lancer un stream et de regarder des images en direct à l’aide d’un lecteur tiers tel que VLC ». C’est pourtant très exactement ce qu’a pu faire le média américain dans la foulée. Celui-ci accuse donc la marque d’avoir menti.

Les journalistes de The Verge précisent tout de même qu’ils ont eu besoin des informations d’authentification au début pour pouvoir consulter les détails des vidéos d’enregistrement. Cependant, ils n’ont fait face à aucune autre étape de vérification par la suite. Ils ont pu visionner les vidéos tant que la caméra était activée — soit après avoir détecté un mouvement,soit parce que son propriétaire est en train de voir ce qu’elle filme).

Anker Eufy n’a pas encore réagi publiquement face à ces nouvelles accusations. Paul Moore affirme avoir reçu un email de la part du groupe, mais estime que ce dernier minimise la gravité de la situation.

Une application mise à jour

Quelques jours après que cette affaire a pris de l’ampleur, Eufy a mis à jour son application pour clarifier certaines choses. La marque d’Anker explique désormais que des données sont bel et bien envoyées sur des serveurs distants lorsque certains paramètres sont activés.

Comme le résume 9to5Google, concernant la faille permettant de lire des enregistrements vidéo via des lecteurs tiers comme VLC, Eufy admet que des « vignettes » de vidéos capturées par ses caméras ou sonnettes connectées étaient téléchargées pour pouvoir, dans la foulée, envoyer des notifications aux utilisateurs.

ZDNet partage au passage un aperçu de la mise à jour de l’application d’Eufy sur iOS — il semblerait que la version Android ne profite pas encore de ce déploiement.

Source : ZDNet

Malgré ces nouveautés, Eufy n’aborde pas le souci concernant les données de reconnaissance faciale.


Utilisez-vous Google News (Actualités en France) ? Vous pouvez suivre vos médias favoris. Suivez Frandroid sur Google News (et Numerama).