Faut-il se méfier des assistants vocaux ? Trois exemples d'espionnage qui incitent à la prudence

Les assistants vocaux vendus par les géants du Net (Amazon, Google, Microsoft ...) sont-ils des espions à domicile ?  Ecoutent-ils vos conversations ? Plusieurs faits divers rapportés récemment font craindre des dérives. En principe, ces appareils se déclenchent lorsque l'utilisateur prononce le mot-clé attendu ("Alexa",  "OK Google" etc.). Avant ce mot-clé, ils "écoutent", mais n’envoient en principe aucune information sur le réseau. Après le mot-clé, les conversations sont envoyées dans le "cloud" afin de traiter la commande. Amazon, Google ou Apple assurent que les données sont chiffrées et qu’il n’y pas d’écoute sauvage.

Faut-il les croire sur parole ? Alors que le règlement général sur la protection des données personnelles (RGPD) est entré en vigueur, vendredi 25 mai, voici trois exemples qui pourraient alerter les adeptes de ces petites merveilles technologiques.

La conversation d'un couple envoyée à un tiers à son insu

"Aux Etats-Unis, l’assistant vocal Alexa d’Amazon a enregistré à son insu la conversation d’un couple et l'a envoyée à l'un de leurs contacts", rapporte Marianne. L'incident a été révélé par la chaîne américaine Kiro-7, à Seattle (Etat de Washington), vendredi 25 mai. Quinze jours auparavant, à Portland (Oregon), "Danielle" (le prénom a été changé) dialogue avec son époux quand le téléphone sonne. Leur interlocuteur les prévient : "Débranchez tout de suite vos appareils Amazon, vous êtes piratés." L'homme au bout du fil, un des salariés du mari, précise avoir reçu un enregistrement de leur conversation. Et il le prouve en affirmant que le couple discutait de planchers en bois.

Interloqués, "Danielle" et son époux réclament des explications à Amazon, qui finit par les fournir. L'appareil, affirme l'entreprise américaine, "s'est réveillé à cause d'un mot prononcé dans une conversation de fond qui ressemblait à 'Alexa' [L'assistant vocal ne doit se déclencher que lorsque ce mot est prononcé]. Les paroles ont probablement été perçues comme une demande d'envoi de message. Alexa a ensuite demandé 'A qui ?' Elle a interprété les sons prononcés comme un nom [précis] dans la liste des contacts et a demandé à haute voix, '[nom du contact], n'est-ce pas ?'", détaille la société. Se seraient donc enchaînées une série improbable de commandes qui aurait abouti à l'envoi par e-mail de la conversation à une tierce personne. Amazon assure qu'il s'agit d'un cas "isolé". Et dément bien entendu écouter ses clients en permanence.

Des dialogues écoutés et enregistrés sans l'accord des intéressés

Quoi qu'en disent les entreprises, "derrière les assistants vocaux, des humains vous entendent", prévient La Quadrature du Net, qui défend les libertés dans l'univers numérique. Des êtres humains aident en effet les machines à devenir intelligentes en écoutant et en vérifiant les retranscriptions de propos tenus.

Maître de conférences en humanités numériques à Paris Tech, le sociologue Antonio Casili publie ainsi, sur le site de La Quadrature, le témoignage de Julie. Celle-ci a travaillé en 2017 comme transcripteuse pour améliorer la qualité de la version française de Cortana, "l'assistante personnelle virtuelle" proposée par Microsoft. Elle a donc écouté les conversations, anonymisées et découpées en courtes séquences, de clients consentants pour améliorer le fonctionnement de l'appareil. Mais même dans ce cadre, elle estime insuffisantes les précautions prises, les clients pouvant parfois être identifiés grâce aux indications qu'ils fournissent (adresse, anniversaire, relations ...).

Autre problème majeur,  les "enregistrements involontaires (...) où des personnes discutent entre elles (dans leur voiture, à la maison, avec leurs enfants sur le chemin de l'école...) tandis que Cortana est dans les parages (tablette, téléphone portable, ordinateur, etc.) et s'est déclenchée de manière non-sollicitée et a tout enregistré".  En outre, note Julie, nombre d'interlocuteurs (enfants, amis, famille etc.) sont enregistrés à leur insu, sans avoir donné leur accord. Et ils peuvent fournir des données extrêmement sensibles (sexe, religion, travail etc.) en s'exprimant en toute liberté.

Les risques de piratage existent

Que peuvent devenir ces données sensibles, si elles sont recueillies par des gens mal intentionnés ? Dans sa rubrique "Nouveau Monde" sur France Info, le chroniqueur Jérôme Colombain rapportait en février le petit jeu auquel s'est livrée l’entreprise israélienne de sécurité Checkmarx.  

Cette société spécialisée s'est amusée à développer une application téléchargeable dans le store d’Amazon Echo, de façon à prolonger la séquence pendant laquelle le micro de l’assistant vocal Amazon Echo est ouvert. Elle a ensuite programmé un système capable d’enregistrer les conversations, de les retranscrire, et de les envoyer sur ses serveurs.

Depuis, Amazon affirme avoir colmaté la faille de sécurité qui a autorisé cette expérience. Quoi qu'il en soit, la Commission nationale informatique et libertés (CNIL) rappelle que les "assistants vocaux" sont "connectés à votre vie privée". Et recommande explicitement de couper le micro de son assistant vocal "quand on ne s’en sert pas".