Comprendre les problèmes de sécurités des enceintes connectées

L'assistant personnel intelligent.

Les assistants personnels intelligents

Les assistants personnels intelligents sont une réalisation importante, qui sont devenus un élément indispensable du processus de numérisation omniprésent. Ces assistants virtuels se retrouvent dans tous les gadgets tels que les smartphones, les tablettes et aussi les montres intelligentes désormais. La concurrence croissante dans ce domaine a conduit à de nombreuses améliorations.

Au quotidien

Dans l'usage quotidien, les assistants vocaux se montrent à la hauteur de cette mission en répondant à des questions générales, il a été testé l'intelligence des assistants personnels numériques en comparant la précision et l'exhaustivité des réponses à plus de 4 000 questions. Google Assistant, Amazon ...

Les compétences d'Amazon Alexa présentent des risques de sécurité

Les compétences Alexa gagnent en popularité, les utilisateurs cherchant à étendre les capacités de leurs appareils Alexa. Les chercheurs estiment désormais que l'adoption rapide de ces compétences pourrait avoir des répercussions sur la sécurité des informations, car elles pourraient ouvrir les utilisateurs d'Alexa au phishing ou à la collecte invasive de données.

Qu'est-ce qu'une compétence Amazon Alexa ?

Une compétence Amazon Alexa est une application, souvent construite par un tiers, avec laquelle les utilisateurs interagissent via leur appareil Alexa. Parmi les exemples, citons Alexa Guard pour la sécurité domestique, Easy Meal Ideas pour les recettes et Spotify pour la musique.

Amazon crée ses propres compétences natives mais permet également à des applications tierces de s'intégrer à Alexa. Ces compétences tierces doivent respecter certaines exigences lors de leur développement :

Noms d'invocation : Les compétences doivent avoir un nom ou une phrase qui, lorsqu'elle est prononcée par l'utilisateur, active automatiquement l'application.
Intentions : Il s'agit de mots qui déclenchent certaines actions de la part des compétences.
Services basés sur le cloud : Les compétences doivent être hébergées sur un service en nuage afin d'accepter et de traiter les demandes.
Configuration appropriée : Les trois exigences mentionnées précédemment doivent être configurées correctement pour qu'Alexa puisse acheminer les demandes.

La dernière étape de la création d'une compétence consiste à la faire approuver par Amazon pour s'assurer qu'elle répond aux directives de la politique. La question qui préoccupe les chercheurs est la rigueur de ce processus de vérification. C'est là que le bât blesse.

Image

Si vous utilisez un VPN

Ne pensez pas que celui -ci vous protègera même si vous choisissez le meilleur VPN payant. Au mieux vous protégerez vos données contre des accés inoportuns et malhonêtes mais rien ne changera pour l'assistant personnel et ses enregistrements.

 

Problèmes de sécurité des compétences Alexa d'Amazon

Pour que les compétences passent le processus d'approbation d'Amazon, elles doivent respecter la politique de confidentialité d'Amazon et répondre aux exigences de sécurité pour l'hébergement de services sur des serveurs externes. Certains chercheurs craignent que le processus de vérification d'Amazon ne soit pas assez strict. Des inquiétudes ont également été soulevées concernant la politique de confidentialité d'Alexa et la manière dont elle affecte les données des utilisateurs.

Problèmes liés au contrôle des compétences d'Amazon Alexa

Le processus de vérification des compétences d'Amazon pose deux problèmes principaux. Le premier est le risque de duplication des phrases d'invocation. Lorsque les développeurs enregistrent leurs compétences auprès d'Amazon, certains ont trouvé des failles qui leur permettent d'utiliser la même phrase que des marques populaires, telles que Ring et Samsung.

Le problème qui découle de la duplication des noms d'invocation est la menace accrue d'attaques de phishing. Lorsque les utilisateurs téléchargent une compétence, cela permet généralement à un tiers d'accéder à l'adresse électronique de l'utilisateur. L'utilisation du nom d'une marque populaire peut ajouter une fausse légitimité aux courriels d'hameçonnage envoyés par la tierce partie, encourageant les utilisateurs à être victimes de cette pratique malveillante.

Le deuxième problème majeur est que les développeurs peuvent modifier le code de leurs applications après qu'elles aient été approuvées par Amazon. Cela signifie que les développeurs pourraient revenir en arrière et apporter, accidentellement ou volontairement, des modifications au code qui ouvrent leurs applications aux logiciels malveillants et autres cybermenaces.

Problèmes avec la politique de confidentialité d'Amazon Alexa

Le peu d'importance accordée par Amazon à la transparence sur la façon dont les compétences traitent les données des utilisateurs peut surprendre ou non de nombreux utilisateurs. La politique de confidentialité d'Amazon n'exige pas que les compétences tierces divulguent la manière dont les données sont collectées et utilisées.

En fait, à peine 28,5 % des compétences tierces proposent des politiques de confidentialité valables qui décrivent clairement comment les données des utilisateurs sont collectées et utilisées. Plus surprenant encore, seuls 13,6 % des compétences destinées aux enfants proposent des politiques de confidentialité valides.

Comment améliorer la sécurité des compétences d'Amazon Alexa

Malheureusement, la sécurisation des utilisateurs d'Amazon Alexa porte la responsabilité ultime de s'assurer que les compétences qu'ils activent sont sécurisées. Les propriétaires d'Alexa doivent vérifier leurs compétences pour voir lesquelles offrent des politiques de confidentialité valides et désactiver celles qui ne sont pas utilisées ou qui ne sont pas transparentes sur la façon dont elles gèrent les données des utilisateurs. Le moyen le plus sûr de sécuriser une Alexa est de supprimer complètement les skills tiers.

Ce que les entreprises doivent retenir

Les problèmes de sécurité liés aux skills d'Amazon Alexa devraient servir de leçon aux autres organisations. À savoir que si elles ouvrent leur produit ou service à l'intégration avec des tiers, il y a de nombreux facteurs à prendre en compte pour s'assurer que les organisations et les données de leurs utilisateurs restent protégées. Les entreprises qui prévoient d'ouvrir leurs produits ou plateformes à des intégrations tierces devraient mettre au point un processus de vérification complet et rigoureux pour garantir que les précautions de sécurité appropriées sont en place et exiger une transparence totale sur la façon dont les données des utilisateurs sont collectées et utilisées.

 

Les conséquences de la fonction "always on" de Google Home sur la vie privée

Cet appareil domestique intelligent va-t-il accumuler encore plus d'informations personnelles sur vous ?

Google Home, son enceinte intelligente et son hub de divertissement domestique, mais des questions subsistent quant à l'impact de l'appareil sur la vie privée des utilisateurs.

Rivale directe d'Amazon Echo, Google Home est l'entrée de la société sur le marché de la maison intelligente.

Vous voulez que Google Home joue votre chanson préférée ? Il suffit de dire "OK, Google" et de lui demander de jouer la musique. Vous voulez que l'appareil, qui est équipé de son assistant basé sur l'intelligence artificielle, diffuse sur votre téléviseur la vidéo d'un chat drôle de YouTube ? Vous voyez le tableau.

Google Home est toujours à l'écoute de la phrase "OK, Google" afin de pouvoir suivre ses instructions.

Le problème qui préoccupe certaines personnes est l'expression "toujours à l'écoute".

Étant donné que Google recueille des informations sur ce que les utilisateurs recherchent en ligne, sur les phrases qu'ils utilisent dans leurs courriers électroniques, sur les directions qu'ils souhaitent obtenir dans Maps et sur leurs déplacements quotidiens, quelles autres informations pourrait-il recueillir sur ce que les utilisateurs font chez eux ?

Les nouvelles données recueillies pourraient-elles être encore plus personnelles ?

"Ce type de technologie d'écoute permanente pose de nombreux problèmes de confidentialité". "Il est évident que tout appareil qui écoute en permanence pourrait également stocker et analyser en permanence tout ce qui se trouve à portée de voix du récepteur."

Google Home pourrait aider Google à amasser une toute nouvelle gamme d'informations sur les gens.

"Il pourrait donner à Google bien plus de données personnelles sur les utilisateurs qu'il n'en obtient actuellement", a-t-il déclaré. "Ce microphone sera le témoin de chaque interaction verbale dans la maison. Il saura également ce que vous regardez à la télévision, ce que vous écoutez, et, évidemment, quand il n'y a personne à la maison."

Google a toutefois déclaré à Computerworld que la confidentialité des utilisateurs était au cœur des préoccupations des concepteurs lorsqu'ils ont développé l'appareil.

"Tous les appareils livrés avec l'Assistant Google sont conçus dans le respect de la vie privée", a déclaré un porte-parole de Google dans un courriel. "Nous ne traitons la parole qu'après avoir détecté le mot clé "OK Google". Si le mot-clé n'est pas entendu, l'extrait audio reste local sur l'appareil et est écarté."

La porte-parole n'a pas précisé combien de temps les informations restent stockées localement.

Elle a toutefois précisé que les utilisateurs peuvent accéder aux données collectées à leur sujet en se rendant sur leur page "Mon activité" et supprimer ce qu'ils ne veulent pas voir collecté à leur sujet.

Que fera Google avec les données collectées par son appareil domestique ? Selon la porte-parole de l'entreprise, l'appareil utilisera son historique audio pour apprendre le son de la voix des utilisateurs, la façon dont certains utilisateurs prononcent les mots et les phrases et améliorer encore la reconnaissance vocale.

Elle n'a pas précisé ce qui serait fait des données recueillies à partir d'éléments tels que les préférences musicales et les questions de recherche.

"Google affirme que les informations ne sont saisies que lorsque vous faites une demande, mais avec tous les problèmes de sécurité que nous avons connus avec les technologies de ce type, notamment les babyphones, il est certain que vous ne voudriez pas que quelque chose de ce genre soit placé dans un endroit où la sécurité est une préoccupation majeure, comme une salle de conférence ou un laboratoire, par exemple", a déclaré Rob Enderle, un analyste du groupe Enderle. "Dans la plupart des cas, l'exposition est probablement plus sur le fait qu'il peut dire et signaler si vous êtes à la maison ou non, mais avec le scandale présumé du balayage des e-mails Yahoo, le niveau d'inquiétude est, et devrait probablement rester, élevé."

Bien sûr, Google a noté que les utilisateurs peuvent appuyer sur un bouton Mute sur le dispositif Home afin qu'il ne soit pas toujours à l'écoute, mais cela diminue l'utilité du dispositif. Les utilisateurs doivent toujours être sur leurs gardes.

"Par précaution, les consommateurs doivent supposer que Home est toujours à l'écoute". "Google n'a pas non plus précisé si les informations extraites par Home seraient utilisées ou non pour établir des profils publicitaires. Les consommateurs qui veulent un haut degré de confidentialité devraient s'inquiéter et faire preuve de diligence raisonnable pour lire les accords de confidentialité."

"Imaginez que vous ayez une conversation informelle avec des amis au sujet de l'ajout d'un jacuzzi dans votre cour arrière. Le lendemain, alors que vous vaquez à vos occupations numériques, vous pourriez trouver votre boîte aux lettres électronique pleine de publicités pour des jacuzzis, et toutes les bannières de vos recherches sur internet festonnées d'encore plus de publicités pour des vendeurs de jacuzzis. Le confort offert par ces produits vaut-il la publicité très ciblée qui en résultera ? Nous verrons bien."

Il est certain que Google Home collectera plus d'informations sur les utilisateurs que l'entreprise n'en avait auparavant.
Un conseil pour tous ceux qui s'inquiètent de voir Google Home collecter trop de données sur eux. "Ne l'achetez pas."