Petit rappel de la situation : il y a quelques semaines, l’analyste en sécurité Paul Moore découvrait que la sonnette Doorbell Dual, qui normalement stocke les vidéos en local, renvoyait tout de même des données vers les serveurs d’Eufy y compris lorsque la fonction cloud n’était pas activée ! Après quelques jours de bad buzz, Eufy, (marque du fabriquant Anker) rétorquait que les vignettes vidéo étaient bien renvoyées vers ses serveurs AWS mais que seul l’utilisateur et propriétaire de l’objet connecté pouvait accéder à ces flux. Hormis cette configuration, une tierce personne ne serait pas en mesure « de démarrer un flux et de regarder des séquences en direct à l’aide d’un lecteur tiers tel que VLC » ainsi que l’a déclaré Eufy au site The Verge.
Problème, le journaliste de The Verge est bien parvenu à accéder à ces enregistrements vidéo (vignettes du Doorbell Dual à l’aide d’un simple lecteur média universel comme VLC. Pour Sean Hollister de The Verge, cela signifie « qu’Anker a un moyen de contourner le chiffrement et d’accéder à ces caméras soi-disant sécurisées via le cloud ». En d’autres termes, le fabricant aurait menti… ou ferait preuve d’une incompétence grave dans le domaine de la sécurité de ses objets connectés. Affaire à suivre…
