Les caméras de surveillance et sonnettes connectées Anker Eufy ont un gros problème de sécurité. Les données censées être stockées localement sont en réalité envoyées sur les serveurs de la firme avec des informations sensibles. Les enregistrements peuvent en outre être visionnés par des personnes tierces grâce à un lecteur tel que VLC. Approchée par The Verge, la marque a tenté de mentir.

Imaginez. Une personne que vous ne connaissez pas — à l’autre bout du monde ou à deux pas de chez vous — peut regarder sur son PC, et sans restriction, tout ce qu’il se passe sur le palier de votre maison ou dans votre jardin. Il y a de quoi être mal à l’aise. C’est pourtant ce qu’il peut se passer avec certaines caméras de surveillance et sonnettes connectées.

En effet, la marque pour maison connectée Eufy, propulsée par Anker, est sous le feu d’acerbes critiques depuis qu’une gigantesque faille de sécurité a été découverte et que des mensonges ont été mis en lumière. Tout commence à la fin du mois de novembre. Le consultant en sécurité informatique, Paul Moore, interpelle Eufy sur Twitter en indiquant avoir « une preuve irréfutable » (en vidéo) que les données enregistrées par sa sonnette connectée, censées être stockées en local, sont en réalité envoyées sur le cloud quand bien même l’option de stockage dans le cloud est désactivée.

Here is irrefutable proof that my supposedly "private", "stored locally", "transmitted only to you" doorbell is streaming to the cloud – without cloud storage enabled. #privacy https://t.co/u4iGgkWkJB

You have some serious questions to answer @EufyOfficial

Le spécialiste montre notamment que sa sonnette connectée Anker Eufy envoyait les données de reconnaissance faciale (avec des informations permettant d’identifier les personnes) sur les serveurs de la marque. Pau Moore explique également que les éléments ainsi téléchargés n’étaient pas retirés des serveurs d’Eufy lorsque les séquences correspondantes étaient supprimées par l’utilisateur sur son application dédiée.

Ce n’est pas tout. L’expert en sécurité informatique s’est rendu compte qu’Eufy peut utiliser les mêmes données de reconnaissance faciale sur deux caméras et deux comptes différents. Une personne peut donc être reconnue à deux endroits différents alors que les données permettant cela sont censées être stockées localement. Paul Moore n’explique pas comment exploiter la faille, mais Android Central a réussi à reproduire cette manipulation sur une caméra EufyCam 3 appairée à une Eufy HomeBase 3.

L’affaire ne s’arrête pas là, bien au contraire. Il a aussi été découvert que les enregistrements des caméras de surveillance et sonnettes d’Eufy n’étaient pas correctement chiffrés. Ainsi, une personne un peu bidouilleuse peut regarder les vidéos en utilisant VLC, le célèbre lecteur vidéo. Une mine d’or pour des personnes mal intentionnées.

Ah well, the cats out the bag now… so may as well tell you.

You can remotely start a stream and watch @EufyOfficial cameras live using VLC. No authentication, no encryption.

Please don't ask for a PoC – I can't release this one.

Heads up @TechLinkedYT @LinusTech https://t.co/sU3FyRaELX

