Lacune de sécurité dans les caméras Eufy : c’est ce que le fabricant dit maintenant

admin0


Lorsqu’il est devenu public fin novembre 2022 que les flux en direct des caméras de sécurité d’Eufy étaient accessibles via le navigateur Web sans aucune authentification et que les données circulaient dans le cloud de l’entreprise sans consentement, il y avait une grande excitation. Après tout, l’entreprise a toujours annoncé qu’elle respectait la vie privée de ses clients et accordait une grande importance à la protection des données. L’entreprise a finalement fait disparaître de sa page d’accueil de nombreuses promesses concernant la protection des données. Eufy fait maintenant une déclaration officielle.

Les meilleures caméras de surveillance



Eufy

Kit Ultra VMS5140-100EUS


Arlo

Caméra intérieure SV-DPFX


Yale

Caméra projecteur Pro 4


Arlo

Caméra projecteur Pro 3


Arlo

Maginon WK 4 HDW


Maginon

Caméra intérieure 360° (F01U316304)


Bosch

Caméra intérieure 360° (F01U316304)

Pro 3 blanc (2 caméras + Smarthub)


Arlo

Caméra de sécurité extérieure de présence NOC-S


atmosphère nette

Arlo Q Plus (VMC3040S)


Net Gear

Liste complète : Les meilleures caméras de sécurité

Eufy promet des améliorations

Dans son message, Eufy doit des excuses, mais admet plusieurs lacunes. Par exemple, il est exact que les caméras Eufy envoient des données au cloud pour utiliser certaines fonctions. Cependant, cela est limité aux fonctions qui ne permettent pas une solution locale – comme le signalement des événements de sécurité via des notifications push avec une image d’aperçu. Cette soi-disant vignette est d’abord envoyée au serveur cloud d’Eufy, qui est basé sur Amazon Web Services (AWS). De là, l’image parvient enfin au smartphone du destinataire. L’ensemble du processus est crypté de bout en bout, selon Eufy. Jusqu’à présent, cependant, l’application Eufy Security n’a fourni aucune information sur les fonctions nécessitant l’utilisation du cloud. Selon le message, des « explications détaillées » ont maintenant été faites ici. En outre, ils souhaitent publier un règlement de protection des données renouvelé en conséquence sur eufy.com.

Pas de données faciales dans le cloud ?

Pendant ce temps, Eufy a nié l’affirmation selon laquelle les données de reconnaissance faciale se retrouvent également dans le cloud. Selon le fabricant, « tous les processus de reconnaissance faciale et biométriques sont effectués localement sur l’appareil de l’utilisateur ». Lorsque les utilisateurs ajoutent une personne à leur système de reconnaissance faciale Eufy, ils doivent d’abord envoyer une image de la personne à leur appareil de sécurité Eufy à l’aide de l’application Eufy Security. La transmission s’effectue soit via une connexion locale sécurisée au sein du réseau domestique, soit via une connexion directe peer-to-peer et non via le cloud. Ce n’est qu’avec Eufy Video Doorbell Dual que l’image de l’utilisateur a été envoyée via le serveur cloud AWS. Le fabricant souhaite également améliorer ce modèle de caméra et introduire la transmission via les méthodes décrites ci-dessus.

Accès restreint à la vidéo en direct

La filiale d’Anker ne donne pas de réponse directe à la question de savoir si les flux en direct des caméras de sécurité Eufy sont réellement accessibles via un navigateur Web sans authentification – et fait tout de même un aveu. En conséquence, bien qu’aucune donnée d’utilisateur n’ait été divulguée, un potentiel d’amélioration a été identifié dans certains domaines importants, notamment la transmission vidéo en direct. Par conséquent, il est désormais garanti qu’il n’est plus possible de regarder des flux en direct en dehors du portail Web Eufy. À partir de maintenant, vous ne pouvez voir la vidéo en direct via des liens partagés qu’après vous être connecté au portail Web Eufy, selon l’annonce.

Ancrer le site Web révisé

Reste à savoir si Eufy réussira à dissiper les inquiétudes des clients avec son message. Après la révélation des failles de sécurité fin novembre 2022, le spécialiste de la maison intelligente a longtemps fait profil bas pour d’abord « enquêter sur d’éventuelles menaces et rassembler tous les faits ». De plus, depuis le 8 décembre 2022, son site internet a également été revu et débarrassé de nombreuses mentions sur la protection des données, comme le rapporte The Verge. Par exemple, les promesses « Il n’y a pas de lien en ligne vers les vidéos » et « Vous devez utiliser le logiciel Eufy et votre compte pour décoder et visionner les clips. Personne d’autre ne peut accéder ou lire ces données » n’étaient plus à trouver. Selon le rapport, l’entreprise a également supprimé des déclarations telles que « Rien que pour vos yeux », « Interdit de voir » ou « Tout dans la maison ».

Accès aux forces de l’ordre ?

Particulièrement explosif : Selon The Verge, Anker a même supprimé un point entier dans la FAQ (Frequently Asked Questions) d’Eufy. Il a déclaré que la société ne transmettrait les vidéos aux forces de l’ordre qu’avec le consentement des utilisateurs. Dans sa déclaration, Eufy ne répond pas si cela signifie pour les utilisateurs, comme pour les systèmes de caméras annulaires d’Amazon, que la police et les autres reçoivent les enregistrements sans aucune ordonnance du tribunal. Un autre aspect qui devrait agacer les utilisateurs des caméras de sécurité d’Eufy.



Source link -53