Caméras Eufy : Anker reconnaît les problèmes de sécurité
Anker avait bien menti : il y a bien un problème de sécurité avec ses caméras de surveillance Eufy qui enregistraient des vidéos capturées dans le cloud sans chiffrement ni authentification, les rendant ainsi accessibles à des tiers…
Près de deux mois après les premières accusations de manquements de sécurité et d'absence de chiffrement de bout en bout des donnée, qui étaient alors accessibles à des tiers sur le cloud, Anker, la marque chinoise derrière les caméras de surveillance Eufy, s'est enfin exprimé auprès de The Verge. Et encore, le média a dû lourdement insister pour que le constructeur donne enfin une réponse claire et honnête. Face au mutisme obstiné de l'entreprise, il a dû poser un ultimatum et menacer la firme de publier un article mettant en lumière les différents problèmes détectés sur ses produits et son manque de transparence. Une méthode qui a visiblement porté ses fruits.
Anker a fini par reconnaitre ses torts et ses mensonges, en admettant que le flux vidéo de ses caméras n'était pas chiffré de bout en bout et que qu'il pouvait être accessible par des personnes tierces via le cloud à destination de son portail Web. L'entreprise a depuis effectué une mise à jour de ses appareils – elle se fait automatiquement à distance – afin que toutes les vidéos soient chiffrées avant d'être envoyé au portail Web – c'est aussi le cas pour l'application mobile. Elle a également accepté de se soumettre à des audits de la part d'experts indépendants, notamment sur les questions de sécurité et de tentatives de piratage des données. Enfin, elle a mis en place un système de bug bounty afin d'inviter les chercheurs en sécurité et les haleurs éthiques à trouver et signaler les éventuelles failles – moyennant finance donc – et prépare un site d'explications claires sur ses pratiques. La firme tient à s'excuser pour son manque de réactions durant ces dernirères semaines et promet de faire mieux et de se racheter. Reste à regagner la confiance des utilisateurs et des acheteurs.
Caméras Eufy : les risques du stockage en cloud
De nombreuses caméras de surveillance et sonnettes vidéo connectées sont dotées d'un système de stockage sur le cloud – sur Internet, donc. En cas de détection d'intrusion, les constructeurs enregistrent en temps réel les vidéos transmises par l'appareil sur un serveur distant, situé quelque part dans le monde. Une fonction très pratique pour éviter que tout ne soit perdu si l'appareil est détruit ou volé par des intrus. Mais qui pose question : car on peut, en toute légitimité, s'inquiéter de la protection des précieuses images capturées ainsi que de l'utilisation que peut en faire l'entreprise qui les récolte.
Certes, la plupart des constructeurs équipent leurs caméras d'un port pour carte mémoire, afin que tout soit stocké localement. Un argument marketing qui est évidemment mis en avant pour attirer les personnes soucieuses de la sécurité de leurs données. Mais il ne faut pas s'y fier ! Si le stockage en local peut laisser penser que rien ne transite vers un espace cloud, la réalité est toute autre. C'est ce qu'ont découvert amèrement des propriétaires de caméras pour maison connectée Eufy, la marque d'Anker. Contre l'avis de leurs utilisateurs et sans les en avertir, elles envoient les images capturées sur les serveurs de l'entreprise. Pire encore : les enregistrements peuvent être visionnés par des tiers, car elles ne sont ni cryptées, ni protégées...
Caméras Eufy : des vidéos non-cryptées accessibles en ligne
C'est Paul Moore, un consultant en cybersécurité, qui a découvert que les données enregistrées par sa sonnette connectée Eufy Doorbell Dual étaient envoyées sur le cloud d'Anker. Une très mauvaise surprise dans la mesure où elles étaient censées être stockées en local, sur un disque externe. D'autant qu'il avait bien désactivé l'option de stockage dans le cloud ! De fait, il a constaté que sa caméra envoyait les miniatures des vidéos – utilisées dans les notifications pour smartphone –, mais aussi les photos des visages détectés avec des informations permettant de les identifier, et-, cerise sur le gâteau, ses identifiants d'utilisateur ! Pour prouver ses dires point par point, Paul Moore a d'ailleurs fait des démonstrations vidéo, postées sur sa chaine YouTube.
Anker a répondu à Paul Moore en lui expliquant que les images enregistrées par ses caméras ne sont utilisées que pour les notifications et sont immédiatement supprimées du serveur lorsque l'utilisateur efface les événements de l'application mobile. Le consultant a donc vérifié les dires de l'entreprise. Et constaté que les éléments téléchargés ne sont pas du tout effacés des serveurs d'Eufy. Pire encore : d'autres utilisateurs se sont penchés sur la question et ont découvert que n'importe qui pouvait accéder à une caméra Eufy. En effet, les données ne sont pas correctement chiffrées, et les vidéos peuvent être visionnées dans un navigateur Web en saisissant la bonne URL. Aucune information d'authentification n'est demandée, et il suffit d'utiliser le célèbre lecteur vidéo VLC pour voir les images. Une véritable mine d'or pour les personnes malveillantes ! Des journalistes du très sérieux The Verge ont essayé à leur tour à voir des images volées. Et ils ont réussi, "prouvant qu'Anker a un moyen de contourner le chiffrement et d'accéder à ces caméras soi-disant sécurisées via le cloud". Certes, il faut que la caméra soit activée par une détection pour voir les images qu'elle enregistre dans le cloud. Mais c'est sa fonction première ! Et elle ne devraient pas être accessibles aussi facilement.
Update: An official response from @EufyOfficial
— Paul Moore (@Paul_Reviews) November 24, 2022
Paraphrasing...
"You're right, we do send to the cloud but it's password protected, so not publicly visible... but we intend to encrypt API messages so nobody else finds out"
Completely & utterly missed the point. pic.twitter.com/Mr08D2t60c
Depuis qu'elle a été informée du problème, Anker a bien évidemment corrigé depuis certains points techniques. Mais l'affaire laisse tout de même une désagréable impression. Outre les problèmes de sécurité que cette découverte soulève, c'est surtout le manque de transparence du constructeur qui choque. Non seulement il stocke "temporairement" les données, mais il le fait sans le consentement du propriétaire de la caméra et sans l'avertir en amont. Les appareils Eufy seraient ainsi vendus avec de fausses promesses de respect de la vie privée. La marque irait même jusqu'à mentir, puisqu'un porte-parole d'Anker aurait affirmé à The Verge qu'il n'était "pas possible de lancer un stream et de regarder des images en direct à l'aide d'un lecteur tiers tel que VLC"... ce qu'a pourtant réussi le média américain. Elle a également répondu à Paul Moore qu'effectivement, des données étaient envoyées dans le cloud, mais qu'il ne fallait pas s'inquiéter car l'URL était protégée par un mot de passe, et que par conséquent seul l'utilisateur pouvait la partager à une tierce personne. Anker a cependant l'intention de crypter l'interface afin que l'URL ne s'affiche plus, et ainsi éviter d'autres "malentendus".