Les objets connectés, une avancée technologique utopique ou un danger ?

Faut-il craindre d’installer au milieu du salon un micro relié à Internet et écoutant en permanence les conversations alentour ? C’est, la question principale à laquelle il faudra répondre avant de se laisser tenter par une enceinte connectée. Trois principaux modèles se disputent désormais le marché français, après l’arrivée de l’Homepod d’Apple, le 18 juin, venue concurrencer Echo d’Amazon et Home de Google.
 
Ces enceintes “intelligentes” apparaissent bien moins vulnérables au risque de piratage que les objets connectés moyens. Les grandes entreprises [qui les commercialisent] disposent d’équipes dédiées à la sécurité, elles ont de l’expérience et des moyens. Ce n’est pas le premier produit qu’elles mettent sur le marché”. La possibilité qu’un pirate en prenne le contrôle, pour espionner ou en perturber le fonctionnement, n’est cependant pas nulle, comme pour tout objet informatique. A l’été 2017, un chercheur britannique avait d’ailleurs démontré qu’il était possible, après manipulation physique, de transformer Echo en mouchard. Un défaut corrigé depuis par le constructeur.
 

La principale inquiétude : la vie privée

Au-delà du piratage, la principale inquiétude suscitée par ces enceintes est celle de la protection de la vie privée. Elles enregistrent en permanence les conversations : c’est leur principe même. La plupart des enregistrements, régulièrement supprimés, ne sont cependant pas envoyés sur Internet : c’est le cas uniquement lorsque l’enceinte reconnaît la formule censée la “réveiller”. La voix de l’utilisateur est alors transmise aux serveurs de l’entreprise, qui procède à l’analyse et renvoie les résultats.
Les enceintes d’Amazon et de Google stockent l’intégralité de ces enregistrements sur leurs serveurs, notamment pour entraîner leurs algorithmes afin de mieux répondre aux sollicitations ultérieures. Il est possible, pour qui a accès au compte lié à l’enceinte, de consulter (ou d’effacer) ces enregistrements, qui ne sont pas supprimés par défaut. Apple, de son côté, assure le faire à intervalle régulier et utiliser un mode de transmission sur ses serveurs qui ne permet pas d’identifier l’utilisateur dont ils proviennent. Ces enregistrements pourraient intéresser la police : en 2016, des procureurs de l’Arkansas (Etats-Unis) avaient ainsi demandé les enregistrements de l’Echo d’un suspect dans une enquête pour meurtre.
Enfin, il n’est pas exclu, pour ce type de technologie, qu’un être de chair et de sang écoute ces enregistrements : l’association française La Quadrature du Net a ainsi récemment relayé le témoignage d’une femme chargée d’écouter des enregistrements issus de l’assistant de Microsoft, Cortana (qui n’est actuellement pas intégré dans une enceinte connectée).
Parfois, les enceintes connectées peuvent se déclencher à l’insu de l’utilisateur, croyant reconnaître par erreur la formule censée les activer et envoyant donc ce qu’elles entendent sur les serveurs de son entreprise. Il est possible, pour tous les modèles, de désactiver physiquement le micro.
 
Même si certaines enceintes possèdent des mécanismes de reconnaissance vocale ou de codes limitant leur utilisation à leur propriétaire légitime, il est aussi possible pour toute personne à proximité de l’objet de l’utiliser à sa guise. Le Homepod d’Apple, par exemple, permet de lire les messages de l’iPhone et ne fait pas la différence entre la voix de son maître et les autres. La publicité s’en est amusée : la chaîne de fast-food Burger King a diffusé en 2017 une publicité pendant le Super Bowl utilisant le mot-clé déclenchant les Google Home pour leur faire lire la page Wikipédia de l’entreprise. Au-delà de cette plaisanterie marketing, rapidement déjouée par Google, cette caractéristique peut poser problème, par exemple lorsque l’enceinte est reliée à un compte permettant des achats. Si vous ne comptez pas utiliser les achats en ligne, utilisez un compte qui n’est pas lié à une carte bancaire. Il faut être sélectif : voulez-vous vraiment contrôler votre serrure connectée ou la vidéosurveillance de votre domicile depuis votre enceinte connectée ? Peut-être pas”.
Ces enceintes, tout particulièrement celle d’Amazon et de Google, représentent surtout un moyen de créer un canal complémentaire de collecte de données personnelles. Tous les fabricants l’affirment : diffuser de la publicité n’est pas leur priorité, voire, pour Apple, n’entre pas du tout dans leurs projets. Mais qui sait comment vont évoluer ces assistants ? Amazon a ainsi déposé un brevet lui permettant de proposer une publicité sur la base des interactions avec son assistant. Quelle forme ces publicités prendront-elles ? C’est un autre enjeu, puisqu’il pourra s’agir non pas de spots classiques mais de suggestions plus ou moins transparentes : le but de ces enceintes connectées est justement d’apporter des conseils et des réponses sur un plateau.
 

Une faille dans les produits Google Home et Chromecast

Un chercheur de la société de cybersécurité Tripwire a découvert une faille dans les produits Google Home et Chromecast. Par un simple script exécuté depuis un site Web, il est possible de localiser précisément le logement des propriétaires.
Jusqu’alors Google n’avait pas été impacté par des problèmes de cybersécurité concernant son assistant Google Home et son système de streaming vidéo Chromecast. Avec ces appareils, la peur des utilisateurs était que les cyber attaquants puissent récupérer leurs conversations vocales.
Craig Young, le chercheur en question, a prouvé qu’il était plus facile de géolocaliser très précisément (à 10 mètres près) le logement des propriétaires des Google Home et des Chromecast. En cause, une faille dans la protection des données personnelles qui n’est pas encore corrigée.
 

Google Home et Chromecast, des espions qui s’ignorent

Les informations de localisation peuvent être envoyées à site Web qui peut les conserver à l’insu des utilisateurs. Ensuite, le cyberattaquant demande aux Google Home et aux Chromecast la liste de réseaux WiFi du propriétaire des appareils. Avec ces données basées sur les adresses IP des appareils, il est donc possible de localiser un logement, mais aussi une personne pourvu qu’elle se soit connectée sur un de ces réseaux avec son smartphone.
Le chercheur de Tripwire a évoqué cette faille auprès des responsables des services clients de Google en mai dernier. La réponse de la firme fut pour le moins étonnante. On lui a expliqué que c’était une fonctionnalité, une volonté et non un bug. Cela ne serait pas réparé. Google Home ou ChromeCast peuvent en effet scanner les réseaux WiFi afin de faciliter la connexion. L’utilisateur n’a plus qu’à entrer son mot de passe. Or, les paramètres d’authentifications ne sont pas renforcés sur les appareils de la firme de Mountain View.
Craig Young déclare : “Je n’ai seulement testé que trois logements jusqu’à maintenant, mais à chaque fois le lieu indiqué correspondait à la bonne adresse”.
Le 18 juin dernier, Brian Krebs, le fondateur de KrebsOnSecurity, un site spécialisé dans les questions de cybersécurité a publié cette histoire. Il a interrogé le chercheur de Tripwire, puis s’est autorisé à contacter directement Google.
Brian Krebs, qui bénéficie d’une aura médiatique importante n’a pas entendu le même son de cloche. Les responsables de Google ont reconnu la faille et ont promis d’injecter un correctif par mise à jour dès la mi-juillet.
 

Un changement de mentalité à inculquer

La confirmation d’une telle faille de sécurité à peine un mois après l’application du RGPD (le Règlement Européen sur la Protection des Données) menace la confiance portée par les utilisateurs dans les Google Home et Chromecast.
La multiplication de ce type de phénomène est un indicateur fort pour les entreprises conceptrices d’objets connectés et de box Internet. Elles doivent investir dans la cybersécurité, quitte à ralentir la commercialisation des nouveaux produits. Avec le RGPD, la notion de privacy by design devient obligatoire. Et ce ne sont pas des mises à jour à postériori qui empêcheront les utilisateurs de porter plainte contre les firmes.
 

Comment sensibiliser les citoyens sur les dangers des nouvelles technologies ?

Réponse du secrétariat d’Etat au Numérique, Mounir Mahjoubi : Le gouvernement partage ces constats et place au cœur de l’ambition française la promotion d une culture partagée de la sécurité informatique. Conformément à la Stratégie nationale pour la sécurité du numérique d octobre 2015, a été mise en place la plateforme cybermalveillance.gouv.fr, qui assume notamment un rôle de sensibilisation auprès de la population française.
La récente revue stratégique de cyberdéfense, qui a souligné l’indispensable nécessité de sensibiliser les citoyens à la sécurité du numérique, a proposé deux axes de développement complémentaires :
Sensibiliser au risque numérique par une éducation au numérique incluant la maîtrise des bonnes pratiques élémentaires en matière de cybersécurité à l’école élémentaire, au collège et dans tous les cursus du lycée. La revue recommande en particulier d intégrer l’exigence nouvelle d’une transmission aux élèves des bonnes pratiques de sécurité numérique dans les parcours de formation initiale et continue des enseignants.
L’intégration d’un volet cybersécurité au programme étatique de soutien à la transformation numérique des entreprises.
Une plateforme en ligne destinée aux petites et moyennes entreprises sera publiée à la fin du premier semestre. Elle contiendra des conseils et des recommandations de produits numériques, les références de prestataires de proximité et des orientations sur les modalités de financements. Le secrétariat d Etat au numérique veillera à la bonne mise en oeuvre de ces orientations.
Par ailleurs, le gouvernement encouragera la mise en place d’ateliers régionaux de sensibilisation à la sécurité numérique réunissant des acteurs locaux (entreprises, offreurs de solutions, collectivités ). L’ANSSI participera à ces ateliers et pilotera notamment la réalisation d’un kit de sensibilisation.
 
Plus d’informations pour savoir Un kit pour améliorer la Sécurité Informtaique.
 
Si vous souhaitez être accompagné pour créer ou améliorer votre marketing sur les réseaux sociaux, n’hésitez pas à lire notre Guide Complet du Marketing Social ou à nous contacter pour bénéficier d’un rendez-vous gratuit avec l’un de nos consultants en marketing Adwords.