Selon plusieurs témoignages, les caméras de sécurité Eufy de la marque Anker téléchargeraient des photos personnelles dans le cloud même si l’utilisateur n’active pas cette option.
Mise à jour du 6 décembre à 10h : Eufy a mis à jour le texte descriptif de son option de partage des miniatures dans les applications iOS et Android, rapporte ZD Net.
Article original, publié le 30 novembre :
L’information nous vient du consultant en sécurité Paul Moore. Celui-ci fait la démonstration en vidéo du réel fonctionnement de la caméra de surveillance Eufy. Selon lui, les caméras sont vendues sur de fausses promesses de respect de la vie privée.
Outrepasser la volonté de l’utilisateur
Moore avait fait l’acquisition d’une sonnette connectée Eufy. Celle-ci doit, normalement, stocker les vidéos prises sur un disque dur interne. De plus, elle propose à l’utilisateur de ne pas activer les fonctionnalités dans le nuage. Selon le consultant en cybersécurité, la caméra de surveillance envoie malgré tout des miniatures de l’image prise ou de la photo de profil de l’utilisateur dans le cloud ainsi que quelques données. On pensera à Apple qui s’est récemment fait alpaguer par la justice car récoltant trop de données d’utilisateurs malgré leur refus spécifique dans les options. L’homme démontre tout le processus dans une vidéo publiée sur sa chaîne YouTube en passant par plusieurs scénarios différents.
La sonnette connectée ne télécharge pas de vidéos sur le cloud mais bien des petites images d’aperçu, qui serviraient aux notifications enrichies envoyées sur les smartphones des utilisateurs. Comme beaucoup le soulignent, le problème n’est pas le stockage, apparemment temporaire, de ces images, mais bien que l’objet connecté le fasse sans le consentement de son propriétaire ou sans l’avertir en amont.
Un objet pourtant vendu avec ces termes présents sur le site : « Personne ne peut accéder à vos données à part vous. » Cette phrase mise en échec par la vidéo de Paul Moore et divers témoignages et avis de spécialistes sur Reddit.
Des images accessibles par un simple lien
Dans sa vidéo, Paul Moore nous montre qu’une fois que la caméra de la sonnette a été enclenchée, elle envoie un paquet de données en plus des images à un serveur Amazon Web Services, sur le cloud donc. Lors de sa démonstration, Moore pouvait avoir accès, via un simple lien, à l’image de miniature et la télécharger. Bien qu’il faille être connecté à l’application d’Eufy pour l’obtenir, cela représente tout de même un potentiel problème de sécurité. Selon la marque, une URL est bien stockée, mais n’est pas accessible à n’importe qui. En effet, celle-ci est restreinte, limitée dans le temps et seulement accessible lorsqu’on est connecté.
La marque chinoise Anker, qui conçoit ces caméras Eufy, a envoyé un communiqué de réponse au site MacRumors. Elle se défend de tout manquement en termes de sécurité mais reconnait une erreur de communication lors du choix, de la part de l’utilisateur, du type de notification.
Selon le fabricant, celui-ci peut choisir entre une notification à base de texte ou avec une image de miniature. Anker ne précisait pas que les notifications à base d’image demandaient de stocker brièvement des miniatures sur le cloud. La marque indique opérer des changements dans le choix des mots dans les options de son application, et une plus grande transparence sur l’utilisation du cloud des caméras dans les communications marketing.
