L'entreprise a été forcée de s'excuser après avoir été épinglée il y a quelques semaines pour des manquements en matière de confidentialité des données utilisateurs recueillies par ses caméras de surveillance.
Eufy, la filiale du groupe Anker, a été dans l'œil du cyclone ses dernières semaines après la découverte de plusieurs anomalies dans les pratiques du constructeur.
Des flux vidéo en clair, accessibles sans aucune authentification
En décembre dernier, un utilisateur des caméras Eufy s'est aperçu qu'il lui était possible de visionner les flux vidéo enregistrés par son appareil en passant tout simplement par le lecteur VLC. Problème, et de taille : les vidéos sont censées être chiffrées par la caméra et ne devraient, en théorie, par être lisibles en clair sur n'importe quel ordinateur ou smartphone sans une authentification.
Un chercheur en sécurité s'est penché sur la question et a découvert un autre problème ayant trait à la confidentialité des utilisateurs. Si Eufy explique dans sa communication que les vidéos restent stockées en local, il s'est avéré que les clips pouvaient être envoyés sur le cloud, même lorsque l'option était désactivée dans les paramètres de l'application Eufy.
Le média en ligne The Verge a tenté d'en savoir plus et a contacté à maintes reprises le service de presse d'Eufy, avec une liste de questions qui sont restées sans réponse durant plusieurs semaines. Le site d'information a alors posé un ultimatum, et menacé l'entreprise de publier un long article récapitulant les différents problèmes détectés sur ses produits. Il semble que cette technique ait fonctionné, forçant Eufy à sortir de son mutisme.
Eufy active finalement le chiffrement de bout en bout pour l'ensemble de ses caméras
Eufy a finalement reconnu que ses caméras de sécurité peuvent ne pas être chiffrées de bout en bout, pour des raisons d'accessibilité. Si les vidéos lues depuis un smartphone Android ou iOS à travers l'application mobile dédiée, les fichiers sont envoyés en clair pour un accès au stream depuis le portail web de la marque.
L'entreprise va également revoir rapidement ses dispositifs de sécurité. Elle a précisé dans un premier temps qu'une mise à jour serait envoyée à toutes les caméras en service pour activer le chiffrement des flux vidéo accessibles depuis le portail web.
Anker va par ailleurs procéder à des audits menés par un expert indépendant pour déterminer les différents problèmes de sécurité toujours présents dans ces produits, et mettre en place un programme de bug-bounty, permettant aux chercheurs en sécurité de lui soumettre les différents trous de sécurité en échange d'une prime.
Source : 9to5Mac