Pour Noël de nombreux français ont reçu un assistant vocal intelligent sous le sapin. Cependant au regard de la vie privée, il faut se demander si cet assistant n’est pas un espion généreusement invité dans son quotidien ?
De nombreux assistants vocaux intelligents sont apparus dans nos rayons multimédias ces derniers temps. Le choix est présent, et ce sont les GAFA qui sont en première ligne. Google Home a été lancé par Google, Echo Dot avec Alexa par Amazon, et Siri par Apple. Ces enceintes connectées font désormais parti de notre quotidien.
Selon la CNIL « une enceinte connectée ‘’ intelligente’’ est un dispositif équipé d’un haut-parleur et d’un micro qui intègre un assistant vocal. Grâce à cet équipement, l’enceinte est capable d’interagir avec l’utilisateur pour lui délivrer un service suite à une requête vocale ».
Ces intelligences artificielles de tous designs permettent de bénéficier de toute information ou de service à portée de voix. Ainsi, il suffit de connecter l’assistant à tous les objets connectés de la maison afin qu’il puisse les faire fonctionner dès que la demande sera réclamée.
On peut se demander si inviter cet outil au sein de notre domicile ne revient pas à mettre notre vie sur écoute par les géants du web. C’est ce dont parlait l’écrivain Minier Bernard lorsqu’il disait que « la révolution numérique était en train de bâtir, brique par brique, le rêve millénaire de toutes les dictatures : des citoyens sans vie privée, qui renonçaient d’eux-mêmes à leur liberté ».
Lorsqu’une personne acquiert un assistant vocal et lui parle, l’assistant va enregistrer de nombreuses paroles afin de pouvoir nourrir son intelligence et l’améliorer en utilisant l’apprentissage automatique, autrement appelé « Machine learning ». L’assistant virtuel va chercher à en savoir davantage sur la personne avec qui il interagit afin de s’adapter aux variations de dialectes, d’accents, de forme de langage, de vocabulaire ainsi qu’à son environnement.
Comment cela fonctionne ?
Prenons l’exemple de l’assistant virtuel développé par Amazon « Echo ». Celui-ci va détecter le mot d’activation tel que “Alexa”, “Amazon” ou “Echo” en identifiant les schémas acoustiques correspondant à ce mot précis, aucun son ni conversation sera stocké ou envoyé dans le Cloud si ce mot n’est pas détecté. Pour beaucoup d’enceintes intelligentes, elles détiennent même un bouton d’arrêt du microphone pour désactiver cette fonctionnalité. Il faut tout de même remarquer qu’on ne peut désactiver cette fonction sur google home mini que lorsqu’il est éteint. En revanche lorsqu’une personne émet une requête à l’assistant vocal, l’enregistrement de cette requête est envoyé directement dans le Cloud où la demande est traitée. Les informations collectées sont enregistrées et stockées dans le compte Google ou Alexa de l’utilisateur où elles peuvent être consultées et supprimées.
Quels problèmes de sécurité ce système peut-il fait l’objet ?
Même si les géants du web annoncent tout mettre en oeuvre afin de sécuriser au maximum leurs assistants connectés, ceux-ci représentent un danger pour la sécurité des données personnelles ainsi que pour la sécurité des systèmes d’information. Ces appareils comportent beaucoup de vulnérabilités et font apparaitre de nombreuses problématiques. Des failles ont été révélées, notamment celui des détournements de ces appareils vocaux.
Un détournement par le biais d’un signal laser
Des chercheurs de l’Université d’électro-communication de Tokyo et de l’Université du Michigan dans une étude intitulé « Light Commands – Laser-Based Audio Injection on Voice-Controllable Systems » ont trouvé une faille de sécurité qui permettrait de prendre le contrôle à distance des microphones des assistants vocaux à l’aide de faisceaux lumineux. Sara Rampazzi, chercheuse interrogée par Le Figaro explique que le faisceau laser va modifier la pression atmosphérique de la même façon que le son, ce qui fait que le microphone réagira de la même manière que s’il captait le son. Il suffira donc d’encoder le signal sonore sur le signal laser pour aboutir à une demande. Le laser, tout comme les outils et les logiciels, sont faciles d’accès dans le commerce et peuvent être à la portée de tout le monde.
Tous les objets connectés à l’assistant vocal peuvent être activés à distance à l’aide de ces faisceaux lumineux, si les volets ou bien la porte d’entrée sont connectés à l’enceinte, ceux-ci peuvent aisément s’ouvrir et laisser un malfaiteur s’introduire dans le domicile. Mais cette méthode a des limites car selon cette étude, ce faisceau ne peut parvenir à l’assistant vocal que par le biais d’une fenêtre où il doit être exposé à la vue. Ainsi, le risque est moindre mais il faut tout de même porter à l’attention de l’utilisateur ce fait.
Un détournement par un système de DolphinAttack
Les chinois ont développé le système DolphinAttack par lequel il est possible de désactiver les réponses de l’assistant vocal ou envoyer de faux messages ce qui permettrait de contrôler l’enceinte sans se faire repérer. Par ce système, il serait alors possible d’octroyer le consentement de l’utilisateur par l’intermédiaire de ces dispositifs qui engendrerait alors une violation de ses données.
De multiples failles mises en lumière
En 2018 une conversation d’un couple américain a été enregistrée puis envoyée à un de leur contact par Alexa. Durant la même année une entreprise israélienne de sécurité, Checkmarx, a réussi à développer une application exploitant les failles de sécurité de l’assistant vocal Amazon Echo afin d’enregistrer les conversations et de les envoyer sur leurs serveurs.
Par conséquent, il conviendrait de déterminer, quelles sont les mesures et les solutions données par les institutions et les textes qui réglementent la protection de la vie privée.
Cécile Piéplu
M2 Cyberjustice- Promotion 2019-2020
Sources :
blogsjaunes.fr / Les avantages des assistants vocaux
Bernard Minier, Une putain d’histoire, éditions Pocket, 2016