À quel assistant vocal pouvez-vous, en confiance, parler de vos petits secrets? | Kristina Flour via Unsplash
À quel assistant vocal pouvez-vous, en confiance, parler de vos petits secrets? | Kristina Flour via Unsplash

Enceintes connectées et vie privée: à qui faire (et ne pas faire) confiance?

Alexa, Google Home, Siri... les assistants vocaux envahissent le quotidien. À quel prix pour vos vies privées?

Si les assistants virtuels n’ont pas encore envahi la totalité du monde des nouvelles technologies, ils ont conquis le CES, salon annuel de la technologie, qui s’est récemment tenu à Las Vegas. Alexa, Google Assistant et d’autres technologies d’assistance diverses et variées ont fait figure de produits incontournables dans cette conférence, animant tondeuses, lave-vaisselles et autres toilettes intelligentes à 7.000 dollars.

100 millions d'Alexa, et moi, et moi, et moi

Amazon et Google ont préparé le terrain de la conférence en rivalisant d’annonces vantant leurs intelligences artificielles respectives. Amazon a dévoilé qu’il avait vendu 100 millions d’appareils Alexa. Quelques jours plus tard, Google a annoncé que son Assistant équiperait bientôt plus d’un milliard d’appareils –ce qui relève peu ou prou de la triche, puisque la grande majorité de ces derniers ne sont pas des enceintes ou des engins spéciaux, mais simplement des téléphones Android.

Astuces de com’ mises à part, il est clair que les deux programmes ont infiltré la vie de millions de personnes, et le CES de 2019 est un avant-goût de l’avenir; un avenir dans lequel la majorité des appareils répondront aux commandes «Alexa», «OK Google», ou aux deux.

Cette invasion de l’espace domestique par l’intelligence artificielle se heurte toutefois à un contre-courant: l’industrie et les citoyennes et citoyens se sensibilisent de plus en plus aux risques liés à la vie privée en ligne. L’avenir sera peut-être fait de lampes parlantes et de fours à notre écoute, comme on a pu en voir au CES; tout dépendra des entreprises. Parviendront-elles à nous convaincre que ces locataires numériques ne nous espionnent pas –ou, à tout le moins, que les renseignements qu’ils recueillent ne nous joueront pas de mauvais tours?

En faisant leur entrée dans ce nouveau monde tapageur, les clientes et clients conscients des problèmes liés à la vie privée auront de plus en plus tendance à poser ces questions: «À quel assistant virtuel est-ce que je peux vraiment faire confiance?» ou «Si je ramène Alexa, Google, Siri, Cortana ou Bixby à la maison, lequel sera le plus gros mouchard?».

Les vœux pieux

Impossible d’y répondre de manière catégorique, mais les premiers indices sont là. Google et Amazon ont rassuré foule et médias un nombre incalculable de fois en affirmant que leurs produits d’intelligence artificielle (assistants virtuels, enceintes connectées) ne nous espionnaient pas. Les deux géants jurent qu’ils se contentent d’enregistrer et de stocker ce que nous disons lors de nos interactions directes avec les appareils –qui se déclenchent lorsque leur mot clé est prononcé («OK Google», «Alexa», etc.).

Le reste du temps, ils écoutent, mais seulement pour détecter ces mots d’activation –et ils ne stockent aucune information, ne les transfèrent vers aucun serveur. Sur la plupart des enceintes intelligentes, il est même possible de désactiver cette fonctionnalité en appuyant sur le bouton du mode silencieux. Les informations enregistrées sont stockées dans votre compte Google ou Alexa, où elles peuvent être consultées et supprimées. En théorie, vous êtes la seule personne à pouvoir y accéder.

Amazon et Google aimeraient vous faire croire à ce scénario simple comme bonjour: leurs assistants ne stockeraient les informations que lorsque vous leur parlez directement, et personne n’aurait accès à ces informations sauf vous. Mais les deux entreprises ont commis de multiples faux pas –et ont donc fait mentir ces vœux pieux.

Les mensonges

Côté Google, on a découvert que certaines anciennes versions de l’enceinte connectée Home Mini étaient presque toujours actives du fait de «pressions fantômes» sur leur bouton du haut; elles écoutaient donc leurs utilisateurs toute la journée, ce qui n’était pas prévu (Google a réglé le problème en retirant l’activation via le bouton du haut). Pour autant que nous sachions, aucune information personnelle n’a fuité –mais l’affaire fut un inquiétant rappel à la réalité: il est effectivement difficile de déterminer si nos assistants n’écoutent que ce qu’ils sont censés écouter.

Côté Amazon, Alexa a connu de multiples déconvenues cette dernière année quant à la protection de la vie privée; certaines furent plus inquiétantes que d’autres. La première affaire fut celle du «rire flippant»: en lieu et place de certaines commandes, des appareils Alexa semblaient entendre «Alexa, rit» et se laissait alors aller à une hilarité spontanée.

La vie privée des utilisateurs et utilisatrices n’a pas été menacée, mais l’affaire a illustré l’imperfection de la protection par commandes vocales. Un cas encore plus étrange a vu un appareil Alexa (équipant une maison remplie de machines intelligentes) enregistrer la conversation privée d’une famille avant de l’envoyer à un contact, sans intervention extérieure visible. Alexa avait en fait mal interprété certaines bribes de conversation, croyant entendre «Alexa», puis «envoyer message», puis le nom d’une personne présente sur la liste de contact.

Alexa a encore fait parler d’elle le mois dernier. Un utilisateur a reçu l’accès aux archives d’enregistrements d’un tiers; Amazon a alors évoqué une erreur humaine. Un scénario crédible, qui ne l’excuse en rien: les erreurs humaines resteront toujours un facteur de risque tant que l’entreprise recueillera des données sensibles non encryptées.

Jeudi 10 janvier, l’Intercept, citant des sources anonymes, révélait que des caméras de sécurité Ring (compatibles avec Alexa) avaient permis à des employés de Ring (et à des tiers) d’accéder à des images filmées par certaines clientes et clients, y compris à l’intérieur de leur domicile.

Pris dans leur globalité, ces bugs indiquent que les machines à activation vocale ne sont pas entièrement sûres, et que même les entreprises les plus réputées sont susceptibles de commettre des erreurs impliquant les données recueillies par leurs assistants personnels. Ces assistants sont présents sur de plus en plus de gadgets; les risques ne font donc qu’augmenter.

Pour ne rien arranger, Google et Amazon se tirent ouvertement la bourre pour signer le plus de contrats possible avec les créateurs de matériel. Les deux entreprises ont tout intérêt à éviter les scandales liés à la vie privée –mais si l’on en croit l’invasion observée au CES, les deux rivaux mettent également l’accent sur l’ampleur et la rapidité.

Tout n'est pas noir

On peut toutefois souligner quelques points positifs: certains experts en cybersécurité estiment par exemple qu’il est beaucoup plus difficile de pirater à distance une enceinte intelligente qu’un site internet ou un PC. Interrogé à ce sujet par la chaîne CNBC, Jake Williams, fondateur de Rendition Infosec [entreprise qui propose des conseils en cybersécurité, ndlr] et ancien hacker de la NSA, a expliqué que les enceintes connectées étaient conçues pour traiter les requêtes provenant de deux sources, et deux sources seulement: la voix des personnes présentes dans la pièce, et l’entreprise qui les a conçues.

Une enceinte intelligente ne permet pas de surfer sur internet, de cliquer sur des liens vérolés ou de télécharger des logiciels tiers non autorisés, ce qui limite la «surface d’attaque» des hackers potentiels. Les paranoïaques répondront que théoriquement, tout cela n’empêche pas les fabricants de permettre à des organisations (comme… la NSA) d’accéder secrètement aux données, ou de les remettre aux forces de l’ordre.

Il convient de rappeler que votre «surface d’attaque» augmente à chaque fois que vous installez un nouvel appareil à activation vocale dans votre foyer. Les hackers sont peut-être incapables de pirater un Amazon Echo en lui injectant du code à distance, mais les cambrioleurs ou cambrioleuses seront peut-être capables de désactiver les verrous de votre porte Alexa en criant le bon nom de code. Google et Amazon proposent tous deux des fonctionnalités de reconnaissance vocale pour prévenir ce type de scénario, mais elles sont loin d’être parfaites.

Les personnes soucieuses de la protection de leur vie privée tenteront –à raison– d’éviter tout appareil muni d’une caméra vidéo tel que l’Echo Look et l’Echo Show (Amazon), ou l’Assistant de Google (l’affichage intelligent du Home Hub de Google ne comporte pas de caméra; une sage décision, sans doute prise pour protéger la vie privée des utilisateurs et utilisatrices). Le problème relève plus du caractère potentiellement sensible des données enregistrées que du fait que les caméras soient plus simples à pirater.

Amazon Echo, Apple HomePod, Google Home Mini: vos nouveaux meilleurs amis pourraient vous trahir. | Rahul Chakraborty, Howard Lawrence et Linus via Unsplash

D’un autre côté, nous sommes nombreuses et nombreux à avoir des caméras sur nos téléphones et nos ordinateurs portables. Ce qui illustre un autre point du phénomène: les risques liés aux enceintes connectées et aux assistants virtuels sautent peut-être plus aux yeux que les risques liés aux autres appareils et services acceptés par le plus grand nombre (Gmail, iPhone, etc.). Ces premiers ne sont pourtant pas nécessairement plus dangereux que ces derniers. Ils présentent peu ou prou les mêmes risques; seule la forme change.

Vos données personnelles, une mine d'or

Ces affaires soulèvent un autre risque –certes moins important– lié à la vie privée: que font Google et Amazon (ou tout autre fabricant d’assistants connectés) de vos données personnelles? Les préférences et le comportement en ligne des utilisateurs et utilisatrices constituent le carburant de la machine publicitaire de Google; son Assistant incarne donc une nouvelle manière de recueillir des informations. Certaines et certains préféreront donc opter pour une autre plateforme vocale –même si, là encore, rien n’indique que la collecte des données sera plus intrusive que celle pratiquée sur Android, Gmail ou Google Maps.

Les publicités ciblées n’ont jamais été le cœur du modèle économique d’Amazon, et l’entreprise affirme qu’elle ne compte pas diffuser de publicités via Alexa. Signalons toutefois qu’Amazon est en train de partir à la conquête du marché publicitaire, et que les publicités tournant autour d’Alexa sont (à tout le moins) envisagées.

Mais alors, quid des alternatives? Il serait évidemment préférable d’éviter Portal, le nouvel appareil d’appel vidéo de Facebook, la réputation de la firme en matière de protection de la vie privée n’étant plus à défaire. Facebook a certes équipé la caméra du Portal d’un «obturateur spécial» pour protéger la vie privée, ce qui pourrait rassurer. La firme a toutefois été contrainte à reconnaître que l’appareil recueillait bel et bien des données personnelles, contrairement à ce qui avait été annoncé.

Cortana (Microsoft) et Bixby (Samsung) ont peut-être des atouts, mais ils ne font pas encore figure de concurrents sérieux face à Google Assistant et Alexa en tant que plateformes. Au CES, Samsung a annoncé que ses télévisions connectées fonctionneraient désormais avec Google et Alexa en plus de Bixby; quant à Cortana, elle collabore avec Alexa depuis l’an dernier –ce qui laisse penser qu’aucun de ces assistants vocaux ne compte tenir tête aux deux géants.

Quid d’Apple? La firme à la pomme refuse de présenter ses produits au CES –une aversion notoire qui ne l’a pas empêchée de se moquer publiquement de ses concurrents. Elle a fait afficher une publicité géante sur un immeuble de treize étage, frappée des mots: «Ce qui se passe sur votre iPhone reste sur votre iPhone» (jeu de mots habile faisant référence à la devise de Las Vegas, et moquerie peu subtile visant Google et Amazon, qui stockent les données de vos assistants personnels sur leurs serveurs). La nouvelle enceinte connectée d’Apple, le HomePod, anonymise les requêtes que vous adressez aux serveurs d’Apple; elles ne sont donc pas liées à votre compte. Il dispose également d’une qualité sonore haut de gamme.

Siri, plus sûre mais moins maline

Les points positifs sont donc nombreux. À l’exception d’un écueil de taille: le HomePod utilise la plateforme Siri, qui est beaucoup moins intelligente qu’Alexa ou le Google Assistant. Siri peine à comprendre le sens des mots et à répondre aux questions sur le monde; il faut donc se contenter des bases (musique, minuteur, lumière, envoi de sms). Par ailleurs, le HomePod a sa propre faille de sécurité inhérente: il ne reconnaît pas la voix de ses propriétaires et ne permet pas la création de comptes séparés, ce qui signifie que toute personne ayant accès à votre domicile peut l’utiliser en se faisant passer pour vous –en envoyant un sms à l’un de vos contacts depuis votre compte, par exemple. Oh, et il coûte 350 dollars, soit trois fois plus qu’un Echo ou qu’un Google Home.

HomePod demeure peut-être la meilleure option si vous avez vraiment envie d’une enceinte connectée, si la protection de votre vie privée est votre priorité, et si vous disposez du budget nécessaire. Mais Siri demeure une plateforme vocale inférieure à Google et Alexa, et vous ne la trouverez dans aucune des machines connectées en vente au CES. Reste à déterminer la meilleure alternative à Apple.

Si vous tenez vraiment à tailler une bavette avec les objets de votre domicile, vous devrez choisir entre Google, connu pour sa tendance à ficher ses utilisateurs et utilisatrices, et Amazon, qui ne s’adonne pas encore à cette pratique (mais pourrait bien s’y mettre). Amazon semble donc être la meilleure option. Attention, cependant: la collecte de données personnelles sensibles a toujours été au centre du modèle économique de Google –ce dernier est donc beaucoup plus au fait des problèmes que représente la protection de ce type d’informations. Dans un entretien accordé à Slate l’an dernier, Al Lindsay (responsable d’Alexa) a visiblement balayé d’un revers de main l’idée selon laquelle la protection de la vie privée constituait un enjeu de taille.

Une lueur d’espoir est apparue dans les travées du CES 2019 sous la forme d’un nouvel assistant virtuel open source appelé Mycroft, qui promet de ne jamais recueillir vos données personnelles. CNET souligne que son développement vient à peine de commencer; et peut-être ne parviendra-t-il jamais à rivaliser avec Google Assistant et Alexa au niveau de l'intelligence. Mais il prouve qu’une partie des fabricants d’assistants virtuels commencent à faire de la protection de la vie privée une fonctionnalité centrale, et non un simple ajout après coup.

En ce moment

Des batteries miraculeuses, le business de la peur d'Amazon, la perte de vitesse de Netflix, c'était aujourd'hui sur korii.

Et Cætera

Des batteries miraculeuses, le business de la peur d'Amazon, la perte de vitesse de Netflix, c'était aujourd'hui sur korii.

(Et plein d'autres choses aussii.)

Life360, l'application qui flique (et agace) les ados

Tech

Life360, l'application qui flique (et agace) les ados

Aux États-Unis, les parents surveillent leurs ados par smartphone. Une surveillance extrême qui exaspère les jeunes et permet la récolte de leurs données personnelles.

En cassant les prix de ses caméras de surveillance Ring, Amazon pousse à la parano

Biz

En cassant les prix de ses caméras de surveillance Ring, Amazon pousse à la parano

La vente de cet appareillage connecté alimente le grand business de la peur et les discriminations.