Caméras de surveillance Eufy

Attention : *Confidentialité non incluse avec ce produit

Caméras de surveillance Eufy

Passé en revue le : 9 novembre 2022

|
Mozilla a effectué 8 heures de recherches
|

L’avis de Mozilla :

|
Vote du public : Moyennement flippant

Eufy fabrique des caméras de sécurité intérieures et extérieures pour garder un œil sur votre maison, vos animaux de compagnie et les alentours de votre propriété. Elles disposent des fonctionnalités standard : vidéo HD, diffusion en direct, audio bidirectionnel, vision nocturne. Vous stockez vos données localement sur une carte microSD ou sur la box de gestion et de stockage de vidéos HomeBase d’Eufy. Diffusez ensuite vos vidéos en direct sur votre téléphone dans l’application Eufy où un chiffrement de bout en bout est utilisé pour protéger vos vidéos. Pour les propriétaires d’animaux, les caméras utilisent une IA qui détecte et envoie une notification si votre animal est présent. Ces caméras ont même une fonction qui vous permet de diffuser un message d’avertissement à votre toutou s’il se rend dans le salon alors qu’il n’est pas censé le faire. Fonction davantage appréciée par les humains que par les chiens. En ce qui concerne la confidentialité et la sécurité, Eufy pourrait mieux faire.

Que pourrait-il se passer en cas de problème ?

En 2021, votre intrépide chercheuse de *Confidentialité non incluse a décidé qu’elle avait besoin de caméras de surveillance intérieures pour garder un œil sur son chaton lors d’un voyage de quelques nuits. En tant que chercheuse en matière de confidentialité, la seule caractéristique que je souhaitait pour ces caméras de surveillance était que toutes les vidéos capturées soient stockées localement où je puisse en avoir le contrôle, et non dans le cloud sur Internet, ce qui serait moins sécurisé. Et donc, j’ai acheté les caméras de surveillance d’Eufy en raison de cette fonctionnalité et parce qu’à l’époque l’entreprise faisait généralement un bon travail en matière de protection des données personnelles. Malheureusement, relire la politique de confidentialité d’Eufy (en réalité, sa société mère Anker) en 2022 m’inquiète un peu quant à ma décision.

Et c’est un problème récurrent avec les objets connectés. Les entreprises se réservent le droit de mettre à jour leur politique de confidentialité à tout moment. Et donc du jour au lendemain, la politique de confidentialité d’une entreprise peut passer de bonne à mauvaise, ou d’acceptable à moins acceptable. C’est ce qu’il semble s’être passé avec Eufy. Une entreprise avec laquelle je me sentais plutôt à l’aise se voit maintenant attribuer notre avertissement *Confidentialité non incluse.

Eufy indique pouvoir collecter de nombreuses données personnelles sur vous, comme le nom, l’e-mail, le sexe, la date de naissance, l’emplacement, des informations sur l’appareil, etc. Et tandis qu’Eufy dit ne pas vendre vos données personnelles (ce qui est une bonne chose), ils disent pouvoir utiliser ces informations pour vous afficher des publicités de leur part et de celle d’annonceurs tiers, ce qui est une moins bonne chose (mais aussi assez standard sur Internet de nos jours). Eufy indique également pouvoir collecter des données personnelles sur vous auprès de tiers qui les lui fournissent, telles que les autorités en charge du maintient de l’ordre. Cela nous inquiète un peu car la façon dont cette ligne dans la politique de confidentialité d’Eufy est rédigée de manière plutôt vague et semble laisser la possibilité de pouvoir collecter des informations sur les utilisateurs auprès de divers tiers, par exemple des courtiers en données.

Les caméras de surveillance d’Eufy font toujours de très bonnes choses en matière de confidentialité. Nous apprécions vraiment que les images de vos caméras de surveillance soient stockées localement où vous seul·e pouvez y accéder et les contrôler, pas dans le cloud, ce qui serait beaucoup moins sécurisé (il existe cependant une option cloud). Vous pouvez accéder à vos vidéos à tout moment via l’application Eufy, et ces séquences sont protégées par un chiffrement fort de bout en bout. Tout cela est très bien. L’IA d’Eufy fournit une détection des êtres humains, des animaux domestiques et des pleurs pour tout ce que vos caméras de surveillance peuvent voir. L’une des valeurs clés du stockage local d’Eufy est que toutes les analyses par l’IA des êtres humains et des bébés qui pleurent sont effectuées localement, ce qui garantit la confidentialité et est généralement beaucoup plus rapide que l’analyse une IA dans le cloud. Un autre avantage du stockage local de vidéos d’Eufy est qu’il est ainsi plus difficile pour les forces de l’ordre de mettre la main dessus sans votre consentement, ce qui est une bonne chose.

Malheureusement, Eufy a également connu des failles de sécurité importantes. En juin 2022, des experts en sécurité ont découvert trois vulnérabilités de sécurité dans le dispositif de stockage et de gestion vidéo Homebase 2 d’Eufy qui auraient pu permettre à des pirates de prendre le contrôle du hub, le contrôler à distance ou dérober des séquences vidéo. Eufy/Anker a développé des correctifs pour ces vulnérabilités de sécurité et les a diffusés aux utilisateurs dans un délai convenable. Et en mai 2021, Eufy a été contraint de s’excuser pour un bug qui exposait le flux des caméras de 712 utilisateurs à des inconnus. Eufy a déclaré que le problème s’était produit lors d’une mise à jour logicielle et que « des utilisateurs ont pu accéder au flux vidéo de caméras d’autres utilisateurs ». Eufy a déclaré dans un communiqué que le problème avait été corrigé une heure après sa découverte. La mauvaise nouvelle est donc que les caméras de sécurité d’Eufy ont eu de sérieux problèmes de sécurité. La bonne nouvelle est qu’Eufy semble s’en être occupé immédiatement et a corrigé ces bugs et diffusé ces correctifs rapidement à ses utilisateurs.

Quelle est la pire chose qui puisse arriver avec les caméras de surveillance d’Eufy ? Des inconnus pourraient avoir accès aux flux vidéo des caméras dans et autour de votre domicile, voilà qui serait assez dramatique. C’est toujours une inquiétude à avoir avec les caméras de surveillance dans votre domicile. Et même s’il est très appréciable qu’Eufy propose un stockage local pour aider à garder confidentielles ces vidéos de vous en train d’embrasser votre chat, il est bien moins appréciable qu’Eufy ait un historique de vulnérabilités de sécurité qui pourraient rendre ces mêmes vidéos de vous vulnérables aux piratages.

Conseils pour vous protéger

  • Gardez le micrologiciel de votre caméra à jour
  • Protégez votre routeur Wi-Fi avec un mot de passe fort
  • N’utilisez pas de compte tiers pour vous inscrire. Mieux vaut vous connecter simplement avec une adresse e-mail et un mot de passe fort.
  • Choisissez un mot de passe compliqué. Vous pouvez utiliser un gestionnaire de mots de passe comme 1Password, KeePass, etc.
  • Utilisez les contrôles de confidentialité de votre appareil pour limiter l’accès à vos informations personnelles via l’application (ne donnez pas accès à votre caméra, microphone, images et emplacement, sauf si nécessaire)
  • Assurez-vous de garder votre application à jour.
  • Limitez le suivi publicitaire sur votre appareil (par exemple, sur iPhone, utilisez « Confidentialité », « Publicités » et « Limiter le suivi publicitaire ») et via les principaux réseaux publicitaires (pour Google, rendez-vous sur votre compte Google et désactivez la personnalisation des publicités).
  • Demandez la suppression de vos données quand vous arrêtez d’utiliser l’application. La suppression d’une application de votre appareil n’entraîne généralement pas automatiquement la suppression de vos données personnelles.
  • Lorsque vous vous inscrivez, n’acceptez pas le suivi de vos données, dans la mesure du possible.
  • Activez la vérification en deux étapes
  • mobile

Ce produit peut-il m’espionner ? informations

Caméra

Appareil : Oui

Application : Oui

Microphone

Appareil : Oui

Application : Oui

Piste la géolocalisation

Appareil : Oui

Application : Oui

Que peut-on utiliser pour s’inscrire ?

Quelles données l’entreprise collecte-t-elle ?

Comment l’entreprise utilise-t-elle les données ?

Nous attribuons un avertissement à ce produit, car il partage des données personnelles à des fins publicitaires et combine les données des utilisateurs avec des données de tiers.

Eufy ne vend pas de données. Cependant, Eufy partage des identifiants personnels avec des tiers à des fins publicitaires : « Nous ne vendons aucune donnée personnelle à des tiers. En particulier, nous ne vendons pas les données personnelles des mineurs de moins de 16 ans. Au cours des 12 derniers mois, nous avons divulgué les catégories de données personnelles suivantes aux catégories de destinataires suivantes : […] Réseaux publicitaires, fournisseurs d’analyse de données. - Identifiants personnels. »

Eufy combine également les données des utilisateurs avec des données obtenues auprès de tiers : « Nous collectons ou obtenons des données personnelles auprès de tiers qui nous les fournissent (par exemple, des agences d’évaluation du crédit ; des autorités en charge du maintient de l’ordre ; etc.). »

Comment pouvez-vous contrôler vos données ?

Nous attribuons un avertissement à ce produit, car il n’est pas clair que l’ensemble des utilisateurs disposent des mêmes droits d’accès et de suppression de leurs données. Eufy mentionne spécifiquement le droit de supprimer des données uniquement pour les utilisateurs basés en Californie.

« Sous réserve de la loi applicable, vous pouvez avoir les droits suivants concernant le traitement de vos données personnelles pertinentes… »

Les politiques de conservation des données d’Eufy sont plutôt déroutantes, mais Eufy promet de supprimer ou de rendre anonymes les données dès qu’Eufy n’en aura plus besoin :
« Une fois que les périodes des paragraphes (1), (2) et (3) ci-dessus, chacune dans la mesure applicable, ont expiré, nous effectuerons l’une des actions suivantes :
- nous supprimerons ou détruirons définitivement les données personnelles concernées ; ou
- nous anonymiserons les données personnelles concernées. »

Quel est l’historique de l’entreprise en matière de protection des données des utilisateurs et utilisatrices ?

À améliorer

En juin 2022, trois failles de sécurité ont été découvertes dans le dispositif de stockage et de gestion vidéo Homebase 2 d’Eufy qui auraient pu permettre à des pirates de prendre le contrôle du hub, le contrôler à distance ou dérober des séquences vidéo. Eufy/Anker a développé des correctifs pour ces vulnérabilités de sécurité et les a diffusés aux utilisateurs dans un délai convenable.

En mai 2021, Eufy a dû s’excuser pour un bug qui a exposé les flux de caméra de 712 utilisateurs et utilisatrices à des inconnu·e·s. Eufy a déclaré que le problème s’était produit lors d’une mise à jour logicielle et que « les utilisateurs ont pu accéder aux flux vidéo des caméras d’autres utilisateurs ». Eufy a précisé dans une déclaration que le problème avait été corrigé une heure après sa découverte.

Informations liées à la vie privée des enfants

Nos sites, produits ou services ne sont pas destinés aux enfants de moins de 13 ans. Par conséquent, nos sites, produits ou services ne demandent ni ne collectent sciemment des informations personnelles auprès de personnes de moins de 13 ans. Si vous n’avez pas 13 ans ou plus, vous ne devez pas visiter ou utiliser nos Sites, produits ou services.

Ce produit peut-il être utilisé hors connexion ?

Oui

Informations relatives à la vie privée accessibles et compréhensibles ?

Oui

Structurées et concises

Liens vers les informations concernant la vie privée

Ce produit respecte-t-il nos critères élémentaires de sécurité ? informations

Oui

Chiffrement

Oui

Mot de passe robuste

Oui

Mises à jour de sécurité

Oui

Gestion des vulnérabilités

Oui

Politique de confidentialité

Oui

Le produit utilise-t-il une IA ? informations

Oui

Cette IA est-elle non digne de confiance ?

Impossible à déterminer

Quel genre de décisions l’IA prend-elle à votre sujet ou pour vous ?

L’IA intégrée réduit le nombre de fausses alertes que vous recevez en différenciant intelligemment les personnes des objets. Elle est dotée de fonctionnalités telles que la détection des animaux de compagnie et même la détection des pleurs.

L’entreprise est-elle transparente sur le fonctionnement de l’IA ?

Impossible à déterminer

Les fonctionnalités de l’IA peuvent-elles être contrôlées par l’utilisateur ou l’utilisatrice ?

Oui

*Confidentialité non incluse

Pour aller plus loin

  • It’s Not Just Ring. Google, SimpliSafe, and Others Could Share Video Footage With Police Without Consent.
    Consumer Reports Le lien s’ouvre dans un nouvel onglet
  • Vulnerability Spotlight: Vulnerabilities in Anker Eufy Homebase could lead to code execution, authentication bypass
    Cisco Talos Intelligence Blog Le lien s’ouvre dans un nouvel onglet
  • If you have this smart home hub, update it now or hackers can take over and steal your security cam footage
    Komando.com Le lien s’ouvre dans un nouvel onglet
  • The Best Indoor Security Cameras
    Wired Le lien s’ouvre dans un nouvel onglet
  • Anker Eufy smart home hubs exposed to RCE attacks by critical flaw
    BleepingComputer Le lien s’ouvre dans un nouvel onglet
  • Why We Don’t Trust Apple’s HomeKit Secure Video—and You Shouldn’t Either
    Wirecutter Le lien s’ouvre dans un nouvel onglet
  • Here’s Anker’s apology after 712 Eufy customers had camera feeds exposed to strangers
    The Verge Le lien s’ouvre dans un nouvel onglet
  • Eufy Updated Official Statement
    Eufy Le lien s’ouvre dans un nouvel onglet
  • Eufy says software 'bug' that exposed users' video footage to strangers has been fixed
    CNET Le lien s’ouvre dans un nouvel onglet
  • Anker’s Eufy division pledges to bolster security following privacy snafu, apologizes again
    TechHive Le lien s’ouvre dans un nouvel onglet
  • Huge Eufy privacy breach shows live and recorded cam feeds to strangers
    9to5Mac Le lien s’ouvre dans un nouvel onglet
  • Eufy security cameras hit with bug giving access to users feeds
    Poc Network Le lien s’ouvre dans un nouvel onglet
  • Eufy responds to huge privacy breach, attributes unauthorized camera access to server ‘bug’
    9 to 5 Mac Le lien s’ouvre dans un nouvel onglet
  • Anker's Eufy Cameras Caught Uploading Content to the Cloud Without User Consent
    MacRumors Le lien s’ouvre dans un nouvel onglet

Commentaires

Vous avez un commentaire ? Dites-nous tout.