Au cœur des critiques depuis quelques jours, Eufy a finalement décidé de réagir. La marque d’Anker est accusée de manquements flagrants en matière de sécurité, comme nous le rapportions en début de semaine. Le spécialiste en cybersécurité Paul Moore a mis en lumière plusieurs failles de sécurité dans le système d’Eufy.
En réponse, la marque vient de déployer une mise à jour de son application Eufy Security. Elle précise désormais que certaines données peuvent transiter sur le cloud lorsque certains paramètres sont activés. Cela concerne notamment les fameuses vignettes d’aperçu des séquences ; dont on apprend dorénavant qu’elles « seront temporairement stockées dans le cloud pour offrir une meilleure expérience ».
L’application propose maintenant plusieurs options de notification. Les propriétaires de caméras de surveillance Eufy peuvent choisir de recevoir une notification, avec uniquement du texte. En faisant le choix d’inclure une miniature, Eufy confirme que l’image sera envoyée sur les serveurs d’AWS (Amazon) utilisés par la firme. Outre ce changement, l’historique des mises à jour mentionne la résolution de « bugs majeurs » sans davantage de précision. Selon nos constatations, le changement concerne la version iOS pour iPhone et celle destinée aux appareils Android.
Stocker des images sur le cloud ? Oui. Sans consentement ? Non !
La présence de cet avertissement permet à la marque d’Anker de corriger l’un des problèmes soulevés par Paul Moore. Le fait de télécharger des images sur le cloud est une pratique courante pour des caméras de surveillance. Elle permet aux utilisateurs de recevoir une alerte push contenant une image afin de savoir rapidement ce qu’il se passe.
Cependant, Eufy n’avait pas précisé à ses clients que ces données étaient susceptibles d’être stockées dans le nuage. La marque a même vanté la sécurité de sa solution, affirmant que les données étaient stockées localement et que « personne d’autre que vous n’a accès à vos données ».
Avec cette mise à jour, Eufy rectifie donc le tir en apportant plus de clarté. En revanche, la firme ne s’attaque pas au problème – plus grave – des flux accessibles à distance. Le chercheur Paul Moore avait révélé que les flux provenant des caméras Eufy étaient accessibles via une application comme VLC et une URL. La marque d’Anker avait assuré qu’il n’était « pas possible de démarrer un flux » de cette manière ; une version contredite par The Verge. Le média américain a pu visionner des vidéos via une simple authentification et tant que la caméra est active.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.