Chronique Internet

Écrans, assistants et capteurs rivalisent d’indiscrétion

d'Lëtzebuerger Land vom 04.10.2019

Les téléviseurs dits « intelligents » et plateformes de streaming nous espionnent à qui mieux mieux et transmettent des données personnelles à des entreprises qui les exploitent sans vergogne, révèlent trois études publiées récemment. On sait depuis quelques années que nombre de ces appareils branchent la caméra et le micro dont ils sont équipés pour observer leurs utilisateurs à leur insu et transmettre les enregistrements à leurs fabricants, une pratique parfaitement scandaleuse. En l’occurrence, il s’agit d’autres méthodes, pas moins révoltantes mais peut-être plus efficaces. L’une d’elles consiste à placer dans les canaux proposés par ces plateformes des « trackers » qui scrutent nos habitudes et en rendent compte aux géants de la publicité en ligne. Certes, c’est le cas aussi sur le web, où cookies et autres dispositifs glanent les traces que nous y laissons à profusion. Mais au moins, sur le web, on peut espérer identifier et si nécessaire contrecarrer ces mouchards grâce aux protocoles du Net, dument documentés, qui permettent de les identifier et de reconstituer leur activité. Tandis que les systèmes d’exploitation des téléviseurs et appareils connectés sont presque toujours propriétaires et donc opaques. Les trois études montrent qu’une surveillance publicitaire pernicieuse se développe rapidement dans et autour des objets connectés.

Dans la première, des chercheurs de Princeton ont voulu en avoir le cœur net et ont imaginé une technique pour répertorier les trackers de Amazon Fire TV et Roku, a rapporté l’un d’eux, Arvind Narayanan, sur Twitter. Ils ont ainsi constaté que les mouchards de Doubleclick étaient présents sur 97,5 pour cent des canaux de Roku, suivis par ceux de Google Analytics et de Scorecard Research, tandis qu’Amazon Adsystem était, sans surprise, en première position sur le service de streaming d’Amazon. Pour analyser ces trafics, les chercheurs ont mis au point un système capable de télécharger les applications des canaux et d’intercepter le trafic qui les traverse en temps réel. La plupart de ces mouchards sont en mesure de s’emparer d’adresses MAC permettant d’identifier l’appareil utilisé, les adresses email, les titres de vidéos visionnées, autant d’indications très utiles pour construire ces profils d’utilisateur dont raffolent les publicitaires du Net. Les utilisateurs ne sont le plus souvent pas prévenus de ce qui se passe derrière leur dos.

Un deuxième papier, issu de Northeastern University à Boston et d’Imperial College à Londres, a consisté à étudier le trafic généré dans un environnement contrôlé contenant 81 objets connectés à Internet, dont cinq « smart TV », en vérifiant par exemple lesquels d’entre eux se mettent en contact avec leur base à la suite d’un événement intervenant dans cet environnement (un utilisateur qui se déplace ou qui parle, un choix de programme...). Dans leur expérience, aucune des smart TV n’a rien fait de tel, ce qui est plutôt rassurant. Les interphones pour smartphone Ring et Zmodo en revanche ont transmis des images des utilisateurs passant devant eux, et l’assistant personnel Alexa s’est déclenché et a envoyé des bouts de phrases prononcées dans la pièce même lorsque ce n’est qu’une expression proche de celle censée le mettre en mode écoute. Bizarrement, même des téléviseurs intelligents sur lesquels Netflix n’a jamais été installé se mettent en contact avec ses serveurs…

La troisième étude, issue elle aussi de Princeton, repose sur une application appelée « IoT inspector », qui a été utilisée par quelque 4 300 personnes. Fait inquiétant, elle a permis de constater que certains téléviseurs se mettent en contact avec Automatic Content Recognition (ACR), un système qui permet d’identifier, à partir de captures d’écran envoyées périodiquement, le programme vu par l’utilisateur, une information qui sert ensuite à déterminer quelle publicité lui montrer.

Une mention particulière revient dans ce contexte aux balises ultra-sons, des bouts de son inaudible émis par un appareil et captés par un autre pour mieux cerner le profil de l’utilisateur, le tout sans que celui-ci n’en soit informé, ne remarque quoi que ce soit ou ait la possibilité de s’y opposer.

Jean Lasar
© 2019 d’Lëtzebuerger Land