Cela va sans aucun doute être un cadeau tendance pour Noël, une enceinte connectée. vous avez le choix entre les enceintes des 3 monstres technologiques :
- Alexa d’Amazon Echo
- Google Home
- Apple HomePod
Mais avant d’offrir ces enceintes comme cadeau ou d’en acheter pour soi, cela vaut sans doute la peine de se demander si on n’introduit pas, chez soi, un espion au profit de ces entreprises. Voyons ce qu’il en est !
Comment réagit Amazon face à la méfiance ?
Amazon affronte toujours les problèmes de protection des données avec les mêmes arguments :
Les utilisateurs savent ce que Echo entend et quand. Selon les termes et conditions que chaque utilisateur accepte, seuls l’utilisateur et Amazon peuvent écouter ce que l’appareil enregistre.
Cette promesse est la pierre angulaire de la confiance qu’Amazon exige des utilisateurs d’Alexa.
Amazon a laissé fuiter des données d’Alexa
Exemple récent montre que les processus utilisés pour traiter les données personnelles sur amazon.de ont de sérieux problèmes. C’est le pire des scénarios pour lesquels les défenseurs de la protection des consommateurs et de la protection des données nous mettent en garde.
Une grosse bourde d’Amazon avec les données privées
Vous avez tous entendu parler du fameux RGPD, le règlement général de l’UE sur la protection des données. Il permet d’avoir aux consommateurs des droits étendus lorsqu’il s’agit d’examiner les données personnelles collectées par des sociétés comme Amazon. En août 2018, un client d’amazon.de a utilisé ces droits pour demander à Amazon de communiquer les données personnelles détenues à son sujet. Quelques mois plus tard, le client a reçu un lien de téléchargement vers un fichier ZIP de 100 Mo.
Environ 50 des fichiers zippés contenaient des données relatives à des choses quotidiennes comme les recherches Amazon, mais il y avait aussi environ 1 700 fichiers WAV et des transcriptions non triées des interprétations par Alexa de ses commandes vocales.
Le client a été extrêmement surpris de trouver ces fichiers car il n’utilise pas Alexa et ne possède aucun appareil compatible Alexa. Il a écouté quelques fichiers d’échantillons aléatoires mais n’a reconnu aucune des voix qu’ils contenaient.
Le 8 novembre, le client a envoyé un mail au service client d’amazon.de pour signaler que les fichiers qu’il avait reçus étaient manifestement ceux d’une autre personne. Il demande également plus d’informations sur les personnes auxquelles ils pourraient appartenir. Il n’a jamais reçu de réponse mais, peu de temps après, il a constaté que le lien de téléchargement vers les fichiers était mort. Schneider avait déjà sauvegardé les fichiers localement et contacté c’t, un webzine allemand d’info sur le numérique, à la mi-novembre car il s’inquiétait des implications de ce qu’il avait trouvé. Il était également inquiet parce qu’Amazon s’était tu et qu’il estimait que la victime devait être informée de la fuite.
Grave atteinte à la vie privée
c’t a demandé à cette personne de leur envoyer quelques fichiers pour se faire une idée de leur contenu. Ces fichiers ont permis de dresser un portrait détaillé du client concerné et de ses habitudes personnelles.
Il a été possible de naviguer dans la vie privée d’un parfait inconnu à son insu. Toutes les informations ont révélé beaucoup de choses sur les habitudes personnelles des victimes, leur travail et leur goût pour la musique.
Il a aussi été assez facile d’identifier la personne impliquée et sa compagne. Les propos tenus ont permis d’identifier rapidement son cercle d’amis. Les données publiques de Facebook et Twitter complètent le portrait.
c’t a utilisé Twitter pour demander à la victime de les contacter. Il a rappelé immédiatement et nous avons expliqué comment nous l’avions trouvé. La victime a été très choquée lorsque nous lui avons parlé des données personnelles qu’Amazon avait envoyées à un étranger.
La faute à pas de chance
Bien sur cette fuite s’est passée à l’insu du plein gré d’Amazon. Ils ont déclaré que c’était un cas malheureux d’erreur humaine et un incident isolé.
La fuite de données n’est pas un cas isolé
Si Amazon parle de cas isolé, un autre problème de confidentialité des données s’est déjà produit il y a quelques mois. Selon Theguardian :
Danielle, une habitante de Portland, avait installé des appareils Echo et des ampoules intelligentes dans chaque pièce de sa maison, acceptant les affirmations d’Amazon selon lesquelles elles ne violaient pas sa vie privée. Mais Alexa a enregistré une conversation privée entre elle et son mari et l’a envoyée à une personne de leur carnet d’adresses sans leur permission.
Vos données personnelles une mine d’or
On le répète sans cesse mais vos données personnelles représentent n pactole pour ces sociétés technologiques car cela leur permet de vous adresser des offres publicitaires que ce soit pour elles directement ou pour les annonceurs.
Ce désastre n’aurait jamais eu lieu si Amazon avait supprimé les fichiers vocaux au lieu de les sauvegarder indéfiniment dans le cloud. même si Amazon indique qu’elle enregistre les fichiers pour l’aider à développer ses systèmes de reconnaissance vocale et linguistique.
Cette politique est problématique du point de vue de la confidentialité des données. Le GDPR exige des paramètres par défaut qui protègent explicitement la vie privée de l’utilisateur, bien que cela n’empêche pas les entreprises de recueillir et de traiter des données personnelles à des fins appropriées.
Dans cet exemple, l’objectif déclaré d’Amazon d’offrir un service de reconnaissance vocale fonctionnel, basé sur l’IA, qui adhère aux principes de l’économie des données justifie les moyens. Le nœud du problème est de décider quelles données sont nécessaires et combien de temps elles doivent être sauvegardées pour atteindre l’objectif spécifié.
Conclusion
Toute information qui se trouve sur un support numérique connecté est susceptible de se faire hacker ou d’être partagée maladroitement.
Utiliser des enceintes connectées constitue donc une augmentation du risque de l’exposition de vos données personnelles. Dans ce cas, c’est votre vie la plus intime qui peut être exposée.
A vous de vous poser la question, si le fait de pouvoir commander son four ou ses lampes vaut la peine de prendre le risque de partager des données avec des tiers ?