Sécurité, vie privée : peut-on faire confiance aux enceintes connectées ?
Écrit par Jonathan PIRIOU sur juin 23, 2018
Faut-il craindre d’installer au milieu du salon un micro relié à Internet et écoutant en permanenceles conversations alentour ? C’est, en substance, la question à laquelle il faudra répondre avant de se laisser tenter par une enceinte connectée. Trois principaux modèles se disputent désormais le marché français, après l’arrivée de l’Homepod d’Apple, lundi 18 juin, venue concurrencer Echo d’Amazon et Home de Google.
Ces enceintes « intelligentes » apparaissent bien moins vulnérables au risque de piratage que les objets connectés moyens. « Les grandes entreprises [qui les commercialisent] disposent d’équipes dédiées à la sécurité, elles ont de l’expérience et des moyens. Ce n’est pas le premier produit qu’elles mettent sur le marché », veut croire Candid Wueest, chercheur pour l’entreprise spécialisée en sécurité informatique Symantec. La possibilité qu’un pirate en prenne le contrôle, pour espionner ou en perturber le fonctionnement, n’est cependant pas nulle, comme pour tout objet informatique. A l’été 2017, un chercheur britannique avait d’ailleurs démontré qu’il était possible, après manipulation physique, de transformer Echo en mouchard. Un défaut corrigé depuis par le constructeur.
La principale inquiétude : la vie privéeAu-delà du piratage, la principale inquiétude suscitée par ces enceintes est celle de la protection de la vie privée. Elles enregistrent en permanence les conversations : c’est leur principe même. La plupart des enregistrements, régulièrement supprimés, ne sont cependant pas envoyés sur Internet : c’est le cas uniquement lorsque l’enceinte reconnaît la formule censée la « réveiller ». La voix de l’utilisateur est alors transmise aux serveurs de l’entreprise, qui procède à l’analyse et renvoie les résultats.
Les enceintes d’Amazon et de Google stockent l’intégralité de ces enregistrements sur leurs serveurs, notamment pour entraîner leurs algorithmes afin de mieux répondre aux sollicitations ultérieures. Il est possible, pour qui a accès au compte lié à l’enceinte, de consulter (ou d’effacer) ces enregistrements, qui ne sont pas supprimés par défaut. Apple, de son côté, assure le faire à intervalle régulier et utiliser un mode de transmission sur ses serveurs qui ne permet pas d’identifier l’utilisateur dont ils proviennent. Ces enregistrements pourraient intéresser la police : en 2016, des procureurs de l’Arkansas (Etats-Unis) avaient ainsi demandé les enregistrements de l’Echo d’un suspect dans une enquête pour meurtre.
LIRE AUSSI : Enceintes connectées : faut-il les adopter ?
Enfin, il n’est pas exclu, pour ce type de technologie, qu’un être de chair et de sang écoute ces enregistrements : l’association française La Quadrature du Net a ainsi récemment relayé le témoignage d’une femme chargée d’écouter des enregistrements issus de l’assistant de Microsoft, Cortana (qui n’est actuellement pas intégré dans une enceinte connectée).
Parfois, les enceintes connectées peuvent se déclencher à l’insu de l’utilisateur, croyant reconnaître par erreur la formule censée les activer et envoyant donc ce qu’elles entendent sur les serveurs de son entreprise. Il est possible, pour tous les modèles, de désactiver physiquement le micro.
Même si certaines enceintes possèdent des mécanismes de reconnaissance vocale ou de codes limitant leur utilisation à leur propriétaire légitime, il est aussi possible pour toute personne à proximité de l’objet de l’utiliser à sa guise. Le Homepod d’Apple, par exemple, permet de lire les messages de l’iPhone et ne fait pas la différence entre la voix de son maître et les autres. La publicité s’en est amusée : la chaîne de fast-food Burger King a diffusé en 2017 une publicité pendant le Super Bowl utilisant le mot-clé déclenchant les Google Home pour leur faire lire la page Wikipédia de l’entreprise. Au-delà de cette plaisanterie marketing, rapidement déjouée par Google, cette caractéristique peut poserproblème, par exemple lorsque l’enceinte est reliée à un compte permettant des achats. Candid Wueest conseille ainsi de cloisonner les comptes liés à ces assistants : « Si vous ne comptez pas utiliser les achats en ligne, utilisez un compte qui n’est pas lié à une carte bancaire. Il faut être sélectif : voulez-vous vraiment contrôler votre serrure connectée ou la vidéosurveillance de votre domicile depuis votre enceinte connectée ? Peut-être pas. »
Ces enceintes, tout particulièrement celle d’Amazon et de Google, représentent surtout un moyen de créer un canal complémentaire de collecte de données personnelles. Tous les fabricants l’affirment : diffuser de la publicité n’est pas leur priorité, voire, pour Apple, n’entre pas du tout dans leurs projets. Mais qui sait comment vont évoluer ces assistants ? Amazon a ainsi déposé un brevet lui permettant de proposer une publicité sur la base des interactions avec son assistant. Quelle forme ces publicités prendront-elles ? C’est un autre enjeu, puisqu’il pourra s’agir non pas de spots classiques mais de suggestions plus ou moins transparentes : le but de ces enceintes connectées est justement d’apporter des conseils et des réponses sur un plateau