L’entreprise chinoise Anker est à nouveau dans la tourmente après la découverte, par un consultant en sécurité, d’une nouvelle faille de sécurité majeure sur ses caméras et sonnettes Eufy. Très appréciées des utilisateurs pour leur stockage en local supposément plus sécurisé, les caméras de la marque envoient en réalité sur le cloud des captures accompagnées d’informations personnelles. Le tout avec des clés de chiffrement douteuses et sans respecter le consentement des utilisateurs. Après un premier incident en mai 2021, Eufy continue d’inquiéter les chercheurs en cybersécurité…
Mise à jour : 02/12/2022 à 18h22
Les caméras et sonnettes Eufy exposent votre vie privée sur Internet
Comme beaucoup d’autres utilisateurs de domotique, Paul Moore a fait l’acquisition d’une sonnette connectée Eufy dans le but de stocker ses vidéos en local. En plus d’un service cloud payant, la marque chinoise propose en effet une HomeBase capable d’enregistrer les clips de ses caméras et sonnettes connectées directement chez vous. Un argument de poids pour le consultant en sécurité qui fut séduit par la promesse d’un chiffrement de bout en bout et d’un « stockage local rien que pour vos yeux » (sic).
Mais on ne se refait pas, et fort de ses connaissances en la matière, le spécialiste de la cybersécurité a voulu vérifier si l’entreprise disait bien vrai. Malheureusement, il n’a pas mis bien longtemps à constater de graves problèmes chez Eufy et à mettre en lumière une faille de sécurité majeure permettant de facilement consulter des images issues de ses vidéos. Des captures destinées à la notification des mouvements qui s’avèrent en plus être accompagnées d’informations personnelles. Des données sensibles qui transitent donc sans le chiffrement de bout en bout pourtant promis par la marque et qui, pour couronner le tout, restent accessibles un certain temps sur le cloud de l’entreprise après suppression des vidéos. Le tout sans l’accord de l’utilisateur.
Eufy Homebase : un stockage local pas assez sécurisé
Le système Eufy se compose d’un hub central auquel les caméras, sonnettes, capteurs et alarmes de la marque se connectent. Mais, alors même que la Eufy Homebase est censée fonctionner en local, il est en réalité impossible de s’y connecter sans accès Internet. L’application communique systématiquement avec sa base en passant par les serveurs de l’entreprise hébergés chez AWS. Il en va de même pour les appareils dont toutes les commandes passent par le cloud. La promesse de fonctionnement en local en prend un coup, mais ce n’est malheureusement pas le pire.
En effet, bien que les vidéos soient effectivement enregistrées sur la Homebase, les vignettes comme les captures transitent elles-aussi via le cloud où elles sont stockées même sans l’accord de l’utilisateur. Plus embêtant, elles y sont conservées un certain temps après effacement des vidéos comme le prouve la vidéo ci-dessous. Des chercheurs de Sec Consult ont par ailleurs remarqué que beaucoup de données sensibles transitent en clair, y compris le nom d’utilisateur, l’ID de compte et les commandes envoyées à l’appareil.
Pire encore, alors que deux clés de chiffrement et de déchiffrement codées en dur sur l’appareil auraient pu nous rassurer, il s’avère qu’elles ne sont ni aléatoires ni uniques, mais identiques sur toutes les Homebase vendues par Anker. En résumé, les données de tous les utilisateurs sont chiffrées avec la même clé « ZXSecurity17Cam@ ». On vous laisse juge.
Mise à jour : 02/12/2022 à 18h22
Eufy a désormais caché l’adresse du flux et les identifiants de l’utilisateur, mais il semble que la clé ne soit autre que le numéro de série de l’appareil encodé en Base64. Autrement dit, toute personne disposant du numéro de série de votre caméra peut théoriquement y accéder, de nombreux outils permettant de décoder le Base64 en ligne. Par ailleurs, The Verge révèle que les flux en direct des caméras sont accessibles via un logiciel tel que VLC.
L’entreprise reconnait un manque de communication
Après être restée muette aux premières sollicitations de Paul Moore, Eufy a fini par réagir suite à plusieurs publications sur des sites High-Tech de renom. « Nos produits, services et processus sont en totale conformité avec les normes du règlement général sur la protection des données (RGPD), notamment les certifications ISO 27701/27001 et ETSI 303645 » explique la marque qui promet de remédier rapidement à ce qu’elle ne juge qu’être un simple défaut de communication. « Ce manque de communication était un oubli de notre part et nous nous excusons sincèrement pour notre erreur ». Certes, les Chinois n’ont pas la même conception de la confidentialité que nous, mais quand même…
Quant aux failles de sécurité à proprement parler, pas un mot. Les développeurs de l’entreprise ont déjà remédié au transit en clair de certaines informations, mais la clé de chiffrement codée en dur demeure un épineux problème. Le service juridique d’Anker étant à la manœuvre, nous espérons un dénouement heureux pour les clients de la marque Eufy, mais vous feriez probablement mieux de piocher dans notre sélection des meilleures sonnettes connectées si vous recherchez un produit de ce type…