Accueil > Agences & Marques > Actualités > Faille de sécurité révélée : Collecte de données de géolocalisation par Google Home et Chromecast
<Retour
Actualités

Faille de sécurité révélée : Collecte de données de géolocalisation par Google Home et Chromecast

Protégez vos données personnelles
Partager

C’est en plein mois de juin marqué, par la sortie des Amazon Echo et de l’HomePod d’Apple en France que la nouvelle est tombée. Craig Young, un chercheur de la société de sécurité Tripwire, a découvert le moyen de collecter les données de géolocalisation d’utilisateurs de l’enceinte connectée Google Home et du lecteur de flux multimédias en temps réel Chromecast.

Localisation précise des utilisateurs

Pour ce faire, le chercheur a fait tourner en arrière-plan un script prévu à cet effet sur un site web. Puis, il a demandé à l’appareil la liste des réseaux Wi-Fi à proximité qu’il a envoyée aux services de géolocalisation de Google. Pour que l’opération fonctionne, l’utilisateur visé devait ouvrir le lien du script et être connecté au même réseau Wi-Fi. Le lien devait rester ouvert pendant au moins une minute.

Est-ce si grave ? Après tout, des millions de sites web recueillent chaque jour des adresses IP susceptibles d’être couplées à des outils de géolocalisation pour obtenir des informations sur l’origine géographique des internautes. Mais celles-ci restent vagues.Tel n’est pas le cas des données de géolocalisation de Google qui cartographient les noms des réseaux sans-fil dans le monde, liant chaque réseau Wi-Fi individuel à une localisation physique correspondante. Celle-ci est extrêmement précise : comptez une marge d’erreur de quelques mètres contre plusieurs kilomètres pour les adresses IP. En l’occurrence, Craig Young a pu mesurer la distance séparant un appareil situé dans une cuisine d’un autre placé au sous-sol.

Des risques en matière de cybersécurité

Les implications de cette faille sont importantes en terme de sécurité. On peut imaginer des tentatives d’hameçonnage beaucoup plus réalistes qu’à l’accoutumée. Avec une localisation précise de la victime, les chantages pourraient être autrement plus crédibles. Après avoir adressée une fin de non-recevoir à Craig Young, Google a finalement décidé de réagir en annonçant une mise à jour censée mettre fin à cette captation de données pour mi-juillet.

Amazon n’est pas en reste. L’agence de cybersécurité MWR a démontré en 2017 que l’enceinte Amazon Echo pouvait être piratée pour intercepter les échanges de données vocales en modifiant la séquence de démarrage de l’appareil. Autrement dit, se transformer en mouchard. Depuis, la firme de Seattle a corrigé ce problème.

L’exposition des données personnelles au coeur du dispositif

Si le risque de piratage est bien réel, il n’est peut-être pas le plus immédiat. Le fonctionnement même de ces appareils pose question au regard de la vie privée. En utilisant une enceinte connectée, n’espérez pas lancer des paroles « en l’air ». Vos requêtes sont enregistrées dans le cloud, c’est-à-dire dans les serveurs des sociétés aux États-Unis. Ces données sont traitées pour entraîner l’intelligence artificielle en vue de l’améliorer. Elles sont aussi accessibles à l’utilisateur via un historique qu’il peut modifier ou supprimer à sa convenance, un peu comme l’historique disponible sur les navigateurs Internet.

Un contrôle qui risque probablement de passer par pertes et profits alors que la valeur ajoutée des enceintes connectées est de bénéficier d’un service immédiat grâce à l’interface naturelle qu’est la voix. Le risque pour les données personnelles est donc d’autant plus grand que les utilisateurs seront plus enclins à s’épancher que sur un clavier. Le fait que les assistants vocaux comme Alexa, Siri ou Cortana soient de plus en plus considérés comme des compagnons de vie illustre cette tendance à la confidence.

En outre, le stockage des échanges sur des serveurs pose le problème de la sécurité des données. Une fuite ou une collecte massive à l’instar de celle opérée par Cambridge Analytica n’est pas une hypothèse à exclure.

Aujourd’hui, ce sont surtout les insuffisances de l’intelligence artificielle qui mettent en lumière l’exposition des données à caractère personnel. Si on prend l’exemple de Cortana, l’assistant de Microsoft qui n’a pas encore d’enceinte connectée correspondante, des personnes humaines écoutent les requêtes des utilisateurs pour corriger les erreurs de l’intelligence artificielle. L’occasion pour ces « transcripteurs » de plonger dans l’intimité de ces personnes.

À cela s’ajoute les dysfonctionnements d’appareils qui n’en sont encore qu’à leurs balbutiements. Le mois dernier, la conversation d’une utilisatrice de Portland avait été enregistrée par erreur par Alexa, avant d’être envoyée de façon tout aussi involontaire à un de ses contacts.

Ces anecdotes invitent à l’établissement d’un certain nombre de règles d’hygiène à l’instar de celles que l’on peut trouver pour la navigation web. La Commission nationale de l’informatique et libertés (CNIL) en a dressé une liste parmi lesquelles l’extinction de l’appareil après utilisation ou encore le contrôle des conversations en se rendant régulièrement sur le tableau de bord. Par ailleurs, d’autres constructeurs, comme le Français Snips, ont adopté une approche plus respectueuse de la vie privée avec une enceinte connectée qui enregistre localement les demandes de l’utilisateur.

Article de Thierry Randretsa

Sur le même sujet.
Nous contacter
Les champs indiqués par un astérisque (*) sont obligatoires
Sur le même sujet.
Nous contacter
Les champs indiqués par un astérisque (*) sont obligatoires
Typosquatting : la cybermenace en vogue
Annonce suivante :
Typosquatting : l’ingénierie sociale au service des cybermenaces
Conseils black friday Lyon Marseille Anciens sites web Marseille Paris les objets connectés Marseille Paris