Cybersécurité et protection des données : Les défis majeurs de l’IoT

Comme on l’a vu dans le premier article de ce dossier, les consommateurs craignent des abus en ce qui concerne leurs données, mais paradoxalement, les acheteurs d’objets connectés smart home sont de plus en plus nombreux chaque année en France : C’est ce qu’on appelle le “privacy paradox”. En effet, la multiplication des objets connectés en France et dans le monde pose un défi majeur de l‘Internet des Objets : la récolte et le traitement des données. La large diffusion et le développement des objets connectés voit les objets produire et récolter des données toujours plus complètes et plus riches, augmentant ainsi le risque d’exposition de ces informations à des pirates informatiques, des logiciels malveillants ou des virus. L’insécurité de l’information pourrait menacer directement l’ensemble du système IdO. On l’a vu dans le premier article de ce dossier, la peur de perte de confidentialité, d’être surveillé sont autant de freins qui rebutent les potentiels acheteurs à “sauter le pas” vers un logement connecté. Les grands fabricants se doivent donc  de trouver des solutions, il en va de la pérennité du marché. L’article qui vient se demandera si les objets connectés menacent réellement la vie privée des consommateurs, si oui, dans quelle mesure, et posera la question de l’efficacité des solutions pour y remédier, notamment ce qu’on appelle “Privacy by design”, avec pour but de répondre à cette grande problématique : l’aspect sécuritaire est-il le plus grand défi de l’IoT domestique ? 

Image à la une : deux femmes faisant face à des caméras de surveillance (Matthew Henry – Unsplash)

L’IoT menace-t-elle notre vie privée ? 

Amazon appelle les capacités à commande vocale d’Alexa des « compétences ». Alexa peut vérifier la météo, établir des rapports, créer des listes de courses, commander des produits chez Amazon, faire des recherches sur Internet, allumer et éteindre des lumières et même raconter des blagues. Les développeurs peuvent ajouter ces compétences au fur et à mesure : de plus en plus de compétences sont ainsi ajoutées au répertoire d’Alexa chaque mois. 

Mais en 2019, Bloomberg publie un article choc, qui va faire trembler les GAFA : L’assistant vocal Alexa d’Amazon écoute les conversations réelles de ses utilisateurs. Après s’être entretenus avec des employés de la firme de Jeff Bezos, ils confirment : certains travailleurs sont employés toute la journée à écouter des extraits de conversations d’utilisateurs d’Alexa, afin d’améliorer ses fautes de compréhension et d’ainsi, améliorer l’expérience utilisateur. Partout à travers le monde, ils écouteraient jusqu’à 1000 enregistrements par jour… Bloomberg raconte que des employés ont même eu une suspicion d’avoir écouté une conversation qui ressemblait à une agression sexuelle. Amazon n’a pas souhaité intervenir. 

Ces évènements ne sont cependant pas imputables à Amazon, ni aux enceintes connectées. Chaque objet smart home est vulnérable aux possibles attaques malveillantes, du volet connecté jusqu’aux ampoules, en passant par le frigidaire.. C’est ce qu’ont tenté de démontrer deux chercheurs dans une étude publiée dans le New York Times, en créant une fausse mise à jour du logiciel des ampoules de la marque Philips qui utilisent le protocole Zigbee pour communiquer entre elles. Ils ont alors réussi, grâce aux ampoules, à pénétrer un réseau auquel elles étaient connectées, et ont ainsi démontré à quel point la smart home pouvait être vulnérable. Ainsi, il apparaît que la vulnérabilité de l’objet connecté réside dans son essence même – le fait d’être connecté, relié, de transmettre des données à d’autres objets. 

Qu’est-ce qu’une donnée personnelle ? 
Source : CNIL, Comprendre le RGPD

Pour pallier ces risques, des réglementations européennes concernant la sécurité des données ont été mises en place afin de protéger les citoyens et de poser un cadre aux professionnels et aux sous-traitants. Le RGPD (Règlement général sur la protection des données), entré en vigueur en 2018, est le fruit d’une volonté d’harmoniser en Europe la gestion et le traitement des données personnelles des utilisateurs, obligeant notamment les entreprises récoltant ces données à informer sur la manière dont elles vont être utilisées. Cette réglementation introduit également la notion de consentement du partage des données : les consommateurs doivent expressément donner leur accord aux entreprises qui souhaitent utiliser leurs données personnelles. Le RGPD présente aussi des cadres spéciaux, concernant les données des enfants par exemple, et donne droit à des dommages et intérêts en cas de non-respect de ces règles. Les entreprises sont donc responsabilisées et obligées à plus de transparence et ce dès le processus de conception,  notamment via le Privacy by design.

Le Privacy by Design (PbD) : Une solution efficace ?

Les données des utilisateurs d’objets smart home sont directement à la disposition du fabricant, et ont très souvent un caractère personnel, si l’on pense à une montre connectée par exemple. En effet, les données collectées par les objets connectés smart home sont assez différentes des données qu’un utilisateur lambda pourrait renseigner sur un site Internet lors d’un achat, premièrement parce qu’elles sont de caractère plus personnel (une fréquence cardiaque, une localisation…), et deuxièmement parce qu’elles sont collectées en masse par les objets connectées. L’idée du Privacy by Design est de travailler en amont sur la protection des données des utilisateurs dès la conception de l’objet connecté, et plus particulièrement, sur la manière dont il va récolter, analyser ou transmettre ces informations. Le Privacy by Design tente donc de prévenir les potentielles menaces liées aux données de ses utilisateurs, sans entraver  les possibilités d’amélioration des objets ou des procédés.

En ce qui concerne les objets de type smart home, l’une des options envisagées serait de placer l’individu au coeur de la récolte de données, se manifestant par un stockage par l’individu et décentralisé, plutôt que d’envoyer les données à des entreprises centralisant ces données sur des serveurs. Un mouvement appelé Self Data, avec des projets comme miData en Grande-Bretagne et MesInfos en France, invite les utilisateurs à se rendre compte de ce qu’ils partagent, avec leur accord ou non, et à connaître et utiliser les bons outils pour garantir un niveau de sécurité maximal. Avoir le contrôle sur ce que l’on partage, c’est également en être responsable. 

Bien qu’il semble idéal, le concept du Privacy by Design comporte quelques limites, notamment des ajustements obligatoires après la conception même de l’objet, parce que des risques potentiels ou des failles avérées s’ajoutent ou sont découvertes après la mise sur le marché. D’autre part, la question de la responsabilité de la Privacy By Design surgit. Qui va devoir et pouvoir supporter les coûts de ces changements : Les institutions, les pays, les fabricants, les grands acteurs du marché ? Si la Privacy by Design est aujourd’hui incomplète, cela soulève une problématique plus globale : actuellement, aucun type de régulation, qu’il s’agisse d’innovations techniques ou même d’un cadre juridique, ne semble capable de pallier les éventuels risques et cyberattaques qui menacent les utilisateurs d’objets connectés. 

En conclusion, au vu de nombreux incidents et failles révélées par les objets smart home, même s’ils proviennent de grandes entreprises renommées, la cybersécurité et la protection des données restent une source d’inquiétude majeure pour les non-consommateurs et utilisateurs d’objets connectés à la maison. La protection des données en appelle aussi à la responsabilité des professionnels et des sous-traitants du secteur, à l’heure où la cybercriminalité tend à s’inscrire comme une menace grandissante. Alors, face à tous ces risques et ces doutes concernant les objets connectés, le prochain article se demandera si nous avons réellement besoin de ces objets connectés, et s’ils ne sont pas une menace à notre liberté. 

Bibliographie

Le Privacy by Design, une fausse bonne solution aux problèmes de protection des données personnelles soulevés par l’Open data et les objets connectés ?. Consulté sur : https://hal.archives-ouvertes.fr/hal-01427983/document

Amazon Workers Are Listening to What You Tell Alexa. Consulté sur : https://www.bloomberg.com/news/articles/2019-04-10/is-anyone-listening-to-you-on-alexa-a-global-team-reviews-audio 

Comprendre le RGPD, Consulté sur : https://www.cnil.fr/fr/comprendre-le-rgpd