Des rumeurs sur des appareils connectés indiscrets circulent depuis de nombreuses années. Vous avez certainement déjà entendu au moins une fois parler de cette personne qui a discuté, disons, de la nouvelle machine à café au travail, avant d’être bombardée d’annonces en ligne pour, vous l’aurez deviné, des machines à café. Nous avons déjà vérifié cette hypothèse et conclu que les annonceurs ne pratiquent pas l’écoute clandestine, mais disposent de nombreux moyens, moins spectaculaires et bien plus efficaces, de cibler leurs annonces. Et si la donne avait changé ? Deux sociétés de marketing ont déjà fait les gros titres (ici et là) en se vantant de proposer des annonces ciblées grâce à une telle écoute. Certes, toutes les deux sont ensuite revenues sur leurs propos et ont supprimé les déclarations pertinentes de leurs sites Internet. Nous avons néanmoins décidé de nous pencher à nouveau sur la situation.
Les allégations des entreprises
Lors de conversations téléphoniques avec des clients, dans des podcasts et sur des blogs, CMG et Mindshift ont raconté à peu près la même histoire, sans aborder l’aspect technique : les smartphones et téléviseurs intelligents les aideraient à reconnaître des mots clés prédéterminés dans les conversations, ensuite utilisés pour créer des audiences personnalisées. Ces audiences, sous forme de listes de numéros de téléphone, d’adresses email et d’identifiants publicitaires anonymes, peuvent être téléchargées sur différentes plateformes (de YouTube et Facebook à Google AdWords en passant par Microsoft Advertising) et utilisées pour cibler les annonces sur les utilisateurs.
Si la deuxième partie concernant la mise en ligne des audiences personnalisées semble tout à fait plausible, la première est tout sauf limpide. Les déclarations des entreprises ne précisent pas à quelles applications et technologies elles ont recours pour collecter ces informations. Mais dans le long article de blog (maintenant supprimé), le passage non technique suivant se démarquait : « Nous savons ce que vous vous demandez. Est-ce légal ? Les téléphones et les appareils peuvent légalement vous écouter. Quand une nouvelle application ou mise à jour invite les consommateurs à accepter plusieurs pages de conditions d’utilisation, l’écoute active est souvent incluse quelque part en petits caractères. »
Face aux questions incessantes des journalistes, la CMG a supprimé l’article de son blog et publié des excuses/clarifications, ajoutant qu’il n’y avait aucune écoute clandestine et que les données de ciblage provenaient de « réseaux sociaux et d’autres applications ».
La deuxième entreprise, Mindshift, vient de supprimer discrètement de son site Internet tous les messages marketing concernant cette forme de publicité.
Où est le mensonge ?
De toute évidence, la langue de leurs représentants « a fourché », soit devant leurs clients, en leur promettant des annonces activées par la voix, soit dans les médias. Voici pourquoi la première hypothèse est la plus probable :
- Les systèmes d’exploitation modernes indiquent clairement quand le microphone est utilisé par une application légitime. Et si, disons, une application météo est constamment à l’écoute du micro, en attendant, par exemple, que les mots « machine à café » sortent de vos lèvres, l’icône du micro sera allumée dans le volet des notifications de tous les systèmes d’exploitation les plus répandus.
- Sur les smartphones et autres appareils mobiles, les écoutes clandestines en continu épuisent la batterie et consomment des données, ce qui ne passerait certainement pas inaperçu.
- L’analyse constante de flux audio de millions d’utilisateurs nécessiterait une puissance de calcul colossale et n’aurait aucun sens financièrement, car les bénéfices publicitaires ne pourraient jamais couvrir les coûts d’un tel ciblage.
Contrairement aux idées reçues, le revenu annuel des plateformes publicitaires par utilisateur est assez faible, avec moins de 4 $ en Afrique, environ 10 $ en moyenne dans le monde et jusqu’à 60 $ aux États-Unis. Il s’agit des chiffres des revenus et non des bénéfices, il ne reste donc tout bonnement plus d’argent pour les écoutes clandestines. Les plus sceptiques sont invités à se pencher, par exemple, sur les tarifs de la reconnaissance vocale de Google Cloud. Même au tarif de gros le plus réduit (plus de deux millions de minutes d’enregistrements audio par mois), transcrire le discours en texte coûte 0,3 centime la minute. En supposant un minimum de trois heures de reconnaissance vocale par jour, le client devrait débourser environ 200 $ par an pour chaque utilisateur, une trop grosse somme même pour les agences publicitaires américaines.
Qu’en est-il des assistants vocaux ?
Cela dit, le raisonnement ci-dessus n’est peut-être pas applicable aux appareils qui écoutent déjà les commandes vocales en raison de la nature de leur objectif principal. Il s’agit tout d’abord des haut-parleurs intelligents et des smartphones avec assistant vocal activé en permanence. Parmi les appareils moins évidents, citons les téléviseurs intelligents qui répondent également aux commandes vocales.
Selon Amazon, Alexa est toujours à l’écoute du mot d’activation, mais attend de l’entendre pour enregistrer et envoyer les données vocales dans le cloud, et s’arrête à la fin de l’interaction avec l’utilisateur. L’entreprise ne nie pas l’utilisation des données d’Alexa pour le ciblage des annonces, et des études indépendantes le confirment. Certains utilisateurs estiment cette pratique illégale, mais l’action en justice engagée contre Amazon est toujours en cours. En parallèle, une autre action intentée contre Amazon par la Commission fédérale des communications des États-Unis a abouti à un modeste règlement de 30 millions de dollars. Le géant du commerce en ligne a été condamné au paiement des dommages et intérêts pour non-suppression des données relatives aux enfants recueillies par Alexa, en violation directe avec la Loi américaine sur la protection de la vie privée des enfants en ligne (COPPA). L’entreprise ne peut pas non plus utiliser ces données recueillies illégalement à des fins commerciales, en particulier pour l’apprentissage d’algorithmes.
Et la collecte de données sur les interactions avec l’utilisateur par d’autres fournisseurs d’assistants vocaux, comme Apple et Google, est un secret de polichinelle. De temps en temps, ces enregistrements sont écoutés par des personnes en chair et en os pour résoudre des problèmes techniques, former de nouveaux algorithmes, etc. Mais sont-ils utilisés pour les annonces ciblées ? Certaines études confirment de telles pratiques de la part de Google et d’Amazon, même s’il s’agit davantage d’une recherche vocale ou d’un historique des achats que d’une écoute permanente. Quant à Apple, aucune étude n’a établi de lien entre les annonces et l’activité de Siri.
Nous n’avons pas trouvé d’étude consacrée aux commandes vocales des téléviseurs intelligents, mais on sait depuis longtemps que les téléviseurs intelligents collectent des informations détaillées sur les programmes que les utilisateurs regardent, y compris les données vidéo de sources externes (lecteur de disques Blu-ray, ordinateur, etc.) Les interactions vocales avec l’assistant intégré pourraient tout à fait être également utilisées plus qu’on ne le voudrait.
Le cas particulier des logiciels espions
Bien sûr, il existe aussi une véritable écoute clandestine depuis le smartphone, même s’il ne s’agit plus ici d’une surveillance de masse à des fins publicitaires, mais bien d’un espionnage ciblé d’une victime en particulier. Il existe de nombreux cas documentés d’une telle surveillance, dont les auteurs peuvent être des conjoints jaloux, des concurrents commerciaux et même de véritables agences de renseignement. Toutefois, ces écoutes nécessitent l’installation d’un programme malveillant sur le smartphone de la victime, et bien souvent, des vulnérabilités permettent de les installer sans même que la cible ne fasse quoi que ce soit. Une fois un smartphone infecté, le pirate informatique a le champ libre. Nous avons écrit une série d’articles à ce sujet : renseignez-vous sur les stalkerwares, les modules de messagerie infectés et, bien sûr, la saga épique de notre découverte de l’Opération Triangulation, peut-être le cheval de Troie le plus sophistiqué jamais conçu pour les appareils Apple. Devant de telles menaces, la prudence ne suffit pas : des mesures ciblées sont nécessaires pour assurer la sécurité de votre smartphone, notamment l'installation d'une solution de protection fiable.
Comment se prémunir contre l’écoute clandestine ?
- Désactivez l’autorisation d’accès au microphone pour toutes les applications qui n’en ont pas besoin sur les smartphones et les tablettes. Dans les versions modernes des systèmes d’exploitation mobiles, vous pouvez voir dans la même section consacrée à la gestion des autorisations et de la confidentialité quelles applications ont utilisé le microphone (et d’autres capteurs) de votre téléphone et quand. Assurez-vous qu’il n’y a rien de suspect ou d’inattendu dans cette liste.
- Contrôlez les applications qui ont accès au microphone sur votre ordinateur : les paramètres d’autorisation dans les dernières versions de Windows et de macOS sont à peu près les mêmes que sur les smartphones. N’oubliez pas d’installer une protection fiable sur votre ordinateur pour empêcher l’intrusion de programmes malveillants.
- Envisagez de désactiver l’assistant vocal. Même s’il n’écoute pas en permanence, des bribes de conversation qui ne devraient pas être enregistrées peuvent l’être quand même. Si vous craignez que les voix de vos amis, membres de votre famille ou collègues n’atterrissent sur les serveurs d’une entreprise internationale, utilisez plutôt des claviers, souris et écrans tactiles.
- Désactivez la commande vocale sur votre téléviseur. Connectez un clavier sans fil compact à votre téléviseur intelligent pour faciliter la saisie de noms.
- Dites adieu aux haut-parleurs connectés. Pour ceux qui aiment écouter de la musique sur les haut-parleurs tout en vérifiant leur recette et en coupant les légumes, c’est le conseil le plus difficile à suivre. Mais un haut-parleur intelligent est à peu près le seul gadget en mesure de vous espionner qui le fait vraiment tout le temps. Il vous reste donc deux options : vivre avec, ou l’activer uniquement pour hacher vos légumes.