Eufy, un fabricant d’appareils connectés, est dans la tourmente depuis plusieurs jours après que le consultant en sécurité Paul Moore ait découverte que la sonnette Doorbell Dual, qui normalement stocke les vidéos en local, renvoyait tout de même des données vers les serveurs d’Eufy… y compris lorsque la fonction cloud n’était pas activée par l’utilisateur ! Pire encore, les stream vidéos renvoyés ne seraient pas chiffrés ! Des constatations identiques ont été faites concernant les caméras connectées d’Eufy, ce qui n’a pas manqué de faire tanguer le service support du fabricant, croulant sous les demandes d’explications des clients.
Il a donc fallu attendre ce mercredi 30 novembre pour avoir un début d’explications. Eufy précise (enfin) que les flux vidéo de ses appareils connectés sont bien stockés et chiffrés en local…, mais que cela n’est pas antinomique avec le fait que l’utilisateur puisse directement accéder à ces flux (ok…). Les flux concerneraient du reste essentiellement des vignettes, qui sont donc bien envoyées sur des serveurs AWS d’Amazon avant d’être automatiquement effacées. En d’autres termes, seul l’utilisateur garderait la main sur les flux vidéo enregistrés par ses appareils. Ce fonctionnement serait du reste parfaitement raccord avec le RGPD. Pas sûr que cette réponse suffise à elle seule à éteindre l’incendie, mais cela reste toujours mieux qu’une absence de communication sur le sujet.
