Sécuritaires, les maisons intelligentes? Survol des risques posés par la domotique

16 juin 2021

La pandémie a changé la façon de vivre et de travailler de bien des gens partout dans le monde, surtout avec l’adoption massive du télétravail. Ce changement de cap a donné naissance à un monde de possibilités pour la collaboration à distance. Toutefois, la popularisation du travail en ligne a aussi fait naître de nouveaux risques pour la cybersécurité, plus particulièrement quant à la consultation et à l’utilisation non autorisées de renseignements de nature délicate. La menace est d’autant plus sérieuse que beaucoup de Canadiens étaient déjà vulnérables avant la pandémie en raison de l’utilisation d’appareils de domotique résidentielle.

Appareils de domotique et assistants vocaux : de quoi parle-t-on?

Les appareils de domotique sont des appareils connectés à Internet qui permettent de contrôler à distance des applications, des dispositifs et des systèmes qui leur sont liés. L’utilisateur les contrôle à l’aide de commandes vocales captées par un logiciel de reconnaissance vocale, communément appelé un assistant vocal. Les géants de la technologie intègrent chacun leur propre logiciel à leurs appareils. C’est le cas de Google (Assistant Google), d’Apple (Siri), d’Amazon (Alexa) et de Microsoft (Cortana).

Pour vendre les appareils de domotique, on vante leur côté pratique et leur connectivité : sans même lever le petit doigt, l’utilisateur peut s’informer via Internet, ajuster la température de sa maison et réaliser d’autres tâches du genre. Ils présentent certes des avantages séduisants, mais ils accentuent aussi la vulnérabilité des renseignements personnels.

Collecte de données, vérification humaine et infonuagique : des risques non négligeables

Les assistants vocaux se fient aux commandes vocales pour faire une foule de choses, comme passer un appel, vérifier la météo, réserver un billet d’avion, jouer de la musique ou faire des achats en ligne. Comme ils s’activent lorsqu’ils entendent la voix d’un utilisateur, leur micro fonctionne (et écoute) en permanence. Les sociétés de technologie affirment que leurs appareils enregistrent et transmettent des données uniquement lorsqu’ils sont activés par une commande vocale, mais il reste que la technologie n’en est qu’à ses balbutiements. Des bogues et des erreurs de programmation pourraient mettre en péril la confidentialité de vos renseignements personnels.

Par exemple, un appareil pourrait interpréter un mot ou une phrase ordinaire comme une commande vocale et envoyer un message texte ou passer une commande au restaurant par erreur. Ceux qui travaillent de la maison pendant la pandémie doivent faire preuve de prudence pour éviter que des renseignements confidentiels sur leurs clients soient recueillis par inadvertance par leurs appareils de domotique résidentielle.

Les sociétés de technologie affirment aussi qu’elles recueillent et analysent les commandes vocales enregistrées par leurs appareils seulement dans le but d’améliorer la réactivité et la précision de leurs assistants. À cette fin, les enregistrements sont écoutés par des techniciens humains. Toutes les grandes sociétés de technologie emploient ce processus de vérification humaine, qui est loin d’être à l’abri des erreurs humaines et techniques. En 2019, Google a admis que des sous-traitants chargés d’écouter des enregistrements avaient divulgué plus de 1 000 conversations à une société médiatique belge. Un mois plus tard, Apple adoptait un programme de vérification humaine à participation volontaire après des révélations selon lesquelles la société faisait appel à des tiers pour écouter des enregistrements dans le but d’améliorer Siri (et ce, sans avoir obtenu le consentement explicite de ses clients).

Les sociétés de technologie n’analysent pas seulement les données recueillies par les appareils de domotique. Les assistants vocaux recueillent passivement des renseignements personnels tirés d’autres applications qui leur sont connectées, pour autant que l’utilisateur autorise l’accès. Cela veut dire que votre assistant vocal pourrait épier votre calendrier, votre localisation et votre historique de navigation sur le Web. Il utilise ensuite ses trouvailles pour créer un profil et vous présenter des renseignements et des publicités ciblés. Alexa ou Siri pourraient par exemple vous avertir que la circulation est dense après avoir détecté un rendez-vous imminent dans votre calendrier. Plus le nombre d’applications et d’appareils compatibles avec les assistants vocaux est élevé, plus la quantité de renseignements personnels recueillis passivement, stockés et analysés est importante.

La façon dont les appareils de domotique réagissent aux commandes vocales soulève elle aussi des préoccupations sur le plan de la vie privée. Les assistants vocaux ont besoin de l’infonuagique pour comprendre les commandes et y donner suite. Les commandes enregistrées et les profils des utilisateurs sont stockés dans le nuage, ce qui les expose à un accès non autorisé par des tiers. Le risque est exacerbé par la pandémie de COVID-19, qui force les gens à travailler de la maison. Des renseignements confidentiels sont alors susceptibles d’être recueillis par un assistant vocal et de se retrouver dans les mains de pirates s’il devait y avoir une brèche de sécurité ou une fuite. Si aucun des géants de la technologie n’a encore rapporté d’atteinte à la sécurité des bases de données de leur assistant vocal, les tendances actuelles suggèrent que ce n’est qu’une question de temps avant que les faiblesses de l’infonuagique ne soient exploitées.

Quelques conseils pour limiter les risques

La meilleure façon de limiter les risques liés à la cybersécurité est d’éviter d’utiliser des appareils de domotique. Il faut toutefois reconnaître que l’utilisation des assistants virtuels est devenue essentielle pour beaucoup de personnes qui travaillent maintenant de la maison. Voici quelques mesures que vous pouvez prendre pour mieux protéger vos renseignements personnels :

  • Assurez-vous que votre appareil propose des paramètres de confidentialité réglables et des fonctionnalités comme la désactivation à distance.
  • Étudiez les politiques de protection de la vie privée des différentes sociétés de technologie pour comprendre comment elles recueillent et consultent vos renseignements (portez une attention particulière aux circonstances dans lesquelles elles transmettent vos renseignements à des tiers).
  • Écoutez et supprimez régulièrement les messages enregistrés.
  • Choisissez de ne pas participer au processus de supervision humaine.
  • Débranchez les appareils qui ne peuvent pas être désactivés lorsque vous êtes en télétravail.
  • Gardez le logiciel de votre appareil à jour.
  • Modifiez fréquemment vos mots de passe.
  • Ne laissez pas les enfants utiliser les assistants virtuels sans supervision.

Le groupe Sécurité informatique de Cox & Palmer est ravi d’aider les organisations et leurs employés à mettre en place des pratiques pour du télétravail efficace et sécuritaire dans le contexte de la pandémie.

Drew D. Ritchie

Drew D. Ritchie

AVOCAT
Halifax

Voir le profil

Services associés

Sécurité informatique

Articles Liés

Une prise d’otages sans issue : les répercussions des rançongiciels sur les PME

Les récentes violations de données très médiatisées ont mis en lumière l’importance pour les gouvernements et les entreprises de protéger les clients, les compagnies et les renseignements personnels. En mai 2017, l’attaque du rançongiciel WannaCry s’est effectuée rapidement en touchant plusieurs cibles de première importance tant publiques que privées, partout dans le monde. WannaCry a littéralement « pris en otages » les données des compagnies et exigeait une « rançon » ou un paiement en échange de la remise de ces données1.

En lire plus
En voir plus
La présente publication de Cox & Palmer a pour unique but de fournir des renseignements de nature générale et ne constitue pas un avis juridique. Les renseignements présentés sont actuels à la date de leur publication et peuvent être sujets à modifications après la publication.