Intelligence Artificielle : les espions sont-ils parmi nous ? (partie 1)

Les assistants vocaux sont partout ! Dans vos téléphones, à la maison, dans les ordinateurs, tondeuses, lave vaisselles et même dans des toilettes intelligentes (à 7 000 dollars tout de même) !
Si le salon annuel de la technologie CES 2019 fait la part belle à ces appareils, on est en droit de se poser des questions quant à leur capacité de confidentialité.
Cofordis s’est penché que le sujet.

La guerre des grands

Amazon se targue d’avoir vendu 100 millions d’assistants vocaux Alexa, et Google riposte en annonçant qu’il va équiper 1 milliard d’appareils … sans préciser que la grande majorité serait des téléphones Android.
Quoiqu’il en soit, les 2 géants sont omniprésents dans le quotidien de millions de personnes et le seront encore plus demain puisque selon le CES, explique que la plus grande partie des appareils connectés répondront à l’énoncée de « Alexa » et « Ok Google».

Quid de la vie privée ?

Tous ces appareils sont censés nous faciliter la vie. Mais qu’est-ce qui nous prouvent que toutes les informations « entendues » par ces appareils ne seront pas utilisées à mauvais escient ?
Si l’on en croit les fabricants, tout est fait pour que les données personnelles et autres conversations privées soient protégées.
Google et Amazon ont à de multiples reprises, affirmé que leurs produits équipés d’intelligence artificielle, « ne nous espionnaient pas ». Ils se contenteraient d’enregistrer et de stocker nos paroles uniquement lorsque les appareils sont déclenchés par des mots clés, « Ok Google » ou « Alexa ».
Pour cela, une veille permanente pour capter les mots déclencheurs d’activité est impérative.
L’utilisateur peut supprimer les informations collectées et enregistrées sur son compte Google ou Alexa. En clair, seule la personne détentrice du compte a accès à ce compte.
Et Apple ? Le nouvel Homepod anonymise les demandes non liées au compte Apple des utilisateurs. Son nouveau slogan lors du CES (où Apple était absent) : « Ce qui se passe sur votre Iphone, reste sur votre Iphone ».
Alors tout serait si simple ?

Aïe …

Si les grands constructeurs se veulent rassurants, c’est qu’il y a eu, (et qu’il y a encore ?) de gros bugs.
Chez Google : le Home Mini (dans certaines de ces anciennes versions), étaient quasiment toujours actifs à cause de « pressions fantômes » sur le bouton en haut de l’appareil. Les utilisateurs étaient donc écoutés en permanence. Google affirme avoir résolu ce problème en supprimant l’activation par ce fameux bouton supérieur.
Amazon n’a pas non plus été épargné avec, entre autres, l’épisode du « rire flippant ». Alexa comprenaient mal certaines commandes et croyaient entendre « Alexa rit ». L’appareil se mettait alors à rire.
Sur Twitter, @SnootyJuicer fait part de son expérience : «Alexa s’est mise à rire d’un seul coup pendant que j’étais dans la cuisine. J’ai cru qu’un enfant rigolait derrière moi ! »
Autre situation inquiétante : dans une maison fortement équipe de machines intelligentes, Alexa a mal interprété des bribes de conversations. Ayant cru entendre « Alexa », « envoyer message » puis un nom présent dans les contacts figurant dans les appareils, Alexa a envoyé l’accès aux enregistrements archivés à un autre utilisateur. Amazon s’est défendu en invoquant l’erreur humaine (dans la 2ème partie, nous vous expliquerons le rôle de l’humain dans le traitement de ces données). Soit, mais cet événement met en avant le risque à recueillir des informations non encryptées.
En janvier dernier, l’Intercept a révélé que des employés de la société Ring (ainsi que des tiers), ont pu avoir accès à des images filmées par certains de leurs clients, également à l’intérieur de leur maison ! Tout ça parce que les caméras de sécurité Ring sont compatibles avec Alexa.

Un point positif

Jake Williams – fondateur de la société conseil en cybersécurité Rendition Infosec, et ancien hacker de la NSA l’affirme : «il est beaucoup plus difficile de pirater une enceinte connectée à distance qu’un PC ou un site internet. » La raison : ces appareils connectés sont programmés pour traiter des domaines venant uniquement de 2 sources : la voix des personnes présentes dans la pièce où se trouve l’appareil, et la société qui l’a conçue. La reconnaissance vocale est intégrée à certaines enceintes, mais pas encore concluante.  L’enceinte connectée ne permettant pas la navigation sur internet, de cliquer sur des sites corrompus, la marge de manœuvre des hackers est donc plus restreinte. Mais attention : à chaque nouvel appareil connecté ajouté, s’ouvre une nouvelle « surface d’attaque » pour les hackers. Et encore plus lorsque les appareils sont équipés de caméra vidéo comme Echo Look et Echo Show. Non pas que ces caméras soient faciles à pirater, mais plus par rapport au traitement des images enregistrées. Idem pour les caméras des smartphones qui sont liés à certains services (Iphone, Gmail …)
Jérôme Bondu – Inter-ligère – a fait la démonstration que « Ok Google » enregistrait les quelques secondes précédant la commande à « Ok Google ». Depuis, Google semble avoir résolu le problème, mais My Activity Google mentionne tout de même qu’ « il est possible que certaines activités ne s’affichent pas encore » au moment de la consultation » … ou après …
On peut donc très légitimement se poser la question : ces assistants vocaux, vos téléphones n’écoutent-ils que ce qu’ils doivent écouter ?