La Federal Trade Commission (FTC) des tats-Unis a accus cette semaine les divisions Ring et Alexa d'Amazon d'un nombre impressionnant de violations lies la vie prive. Amazon est accus d'avoir permis aux employs des divisions Ring et Alexa d'espionner les clients, de crer une atmosphre propice aux intrusions des pirates informatiques et de conserver illgalement les enregistrements de voix d'enfants effectus par son assistant vocal. Amazon est condamn payer plus de 30 millions de dollars d'amendes. Ces accusations interviennent aprs que plusieurs rapports ont rvl que Ring et Alexa sont en difficult depuis quelques annes maintenant.Bien que les appareils pilots par Alexa, notamment les haut-parleurs Echo, semblent populaires auprs des consommateurs, ils n'ont jamais eu une bonne presse. Ces appareils reprsentent un cauchemar pour la confidentialit et la vie prive des consommateurs. Par le biais de ses enceintes connectes, Amazon collecte une quantit impressionnante d'informations personnelles sur les utilisateurs et les vend ou les exploite des fins de marketing. Cette rtention des donnes personnelles a t dnonce au fil des ans, mais Amazon a toujours ni les allgations de violation de la vie prive, affirmant qu'il se sert ces informations uniquement pour amliorer Alexa.
Les employs de Ring avaient un accs illimit aux flux vido des camras
Mercredi, dans un rapport accablant sur enceintes connectes d'Amazon, la FTC a accus les filiales Ring et Alexa d'Amazon d'avoir commis diverses erreurs en matire de protection de la vie prive. Dans la premire srie de plaintes, la FTC a accus Ring, spcialise dans les camras de scurit domestique, d'avoir compromis la vie prive des consommateurs en permettant n'importe quel employ ou sous-traitant d'accder aux vidos prives des consommateurs et en ne mettant pas en uvre les protections de base en matire de scurit et de protection de la vie prive, ce qui a permis des pirates de pntrer l'infrastructure et de lire les donnes.
Non seulement chaque employ de Ring et chaque sous-traitant bas en Ukraine pouvait accder aux vidos de chaque client (stockes en clair sur les serveurs de Ring), mais ils pouvaient galement tlcharger facilement les vidos de n'importe quel client et les visionner, les partager ou les divulguer leur guise , rapporte la FTC dans la plainte dpose auprs du DOJ. L'action en justice expose quelques-unes des violations de la vie prive que le rgulateur a releves lors de son enqute. Le document dcrit comment un agent du service clientle peut avoir besoin d'accder aux donnes vido d'un client particulier pour rsoudre un problme.
Selon la FTC, ce mme agent du service clientle ayant un accs illimit des vidos appartenant des milliers de clients qui n'ont jamais contact le service clientle. Autre constat encore plus effrayant que le prcdent est dcrit par le rgulateur amricain comme suit : bien qu'un ingnieur travaillant sur la camra projecteur de Ring puisse avoir besoin d'accder certaines donnes vido provenant d'appareils extrieurs, cet ingnieur avait un accs illimit aux images de l'intrieur des chambres coucher des clients . Le personnel de Ring n'avait pas t form la gestion des donnes prives et l'entreprise n'avait pas limit les accs.
La plainte mentionne galement qu'un employ a visionn des milliers d'enregistrements vido appartenant au moins 81 utilisatrices et a concentr ses recherches sur des camras dont les noms indiquaient qu'elles surveillaient un espace intime, comme "Chambre principale", "Salle de bain principale" ou "Camra espionne". La plainte indique que l'employ a pass plus d'une heure par jour faire ce genre de choses, sans tre dtect par Ring, pendant des mois. Puis, lorsqu'une collgue a signal cette activit, son suprieur n'a pas tenu compte du rapport, affirmant l'employe qu'il tait "normal" qu'un ingnieur consulte autant de comptes.
Ce n'est qu'aprs avoir remarqu que l'employ masculin ne regardait que des vidos de "jolies filles" que le superviseur a fait remonter le rapport d'inconduite. Ring a ragi cet incident de 2017 en limitant l'accs aux vidos pour le personnel du service clientle, mais d'autres employs ont conserv l'accs aux vidos. Selon la FTC, les employs de Ring avaient un accs illimit non seulement aux vidos des clients, mais "plusieurs sous-traitants tiers taient en mesure de visionner, de tlcharger et de transfrer les donnes vido sensibles des clients leurs propres fins". Les clients n'taient pas bien informs sur les usages qui sont faits de leurs vidos.
Les mauvaises pratiques de scurit de Ring faisaient le bonheur des pirates
La division Ring est galement accuse de ne pas avoir mis en uvre des contrles de scurit de base la fois sur ses produits et sur son environnement de travail, offrant ainsi aux acteurs de la menace un terrain de jeu infini pour pirater et harceler les consommateurs. Selon la plainte, en raison du laxisme des mesures de scurit, les pirates ont pu exploiter en permanence les vulnrabilits des comptes Ring. La FTC rapporte que les pirates ont t en mesure d'accder des vidos stockes et des flux en direct, modifier les paramtres des appareils et pirater les comptes individuels de quelque 55 000 clients amricains. Mais ce n'est pas tout.
Certains pirates auraient mme utilis la fonctionnalit de camra bidirectionnelle de Ring pour harceler, menacer et insulter des clients leur domicile, y compris des enfants et des personnes ges. Des femmes allonges dans leur lit ont entendu des pirates les insulter et plusieurs enfants ont fait l'objet d'insultes racistes de la part des pirates , indique la plainte. ce stade, La FTC a rapport un incident qui montre l'ampleur des problmes des appareils Ring. La plainte indique : un pirate a dit une personne travers sa camra qu'il avait tu la mre de la personne et a ensuite menac directement cette dernire en disant "ce soir, tu meurs" .
Ring a galement t accuse de ne pas avoir protg les informations des consommateurs contre deux menaces en en ligne bien connues : les attaques par bourrage d'identifiant et les attaques par force brute. Et ce, aprs avoir reu des avertissements de la part d'employs et de chercheurs en scurit externes, et aprs avoir subi de multiples attaques en 2017 et 2018. La plainte de la FTC souligne que les clients ont t avertis que Ring s'accordait des droits tendus d'accs leurs vidos dans ses conditions d'utilisation et sa politique de confidentialit, mais le rgulateur critique ces documents comme tant une "demi-explication enterre".
Selon la plainte, ces documents ne donnaient aux clients aucun moyen raisonnable de savoir que des centaines d'employs de Ring et de contractants tiers en Ukraine avaient un accs illimit aux flux en direct et aux vidos stockes. La plainte souligne que le principal message marketing de Ring est que ses produits amliorent la scurit, alors que ses actions signifient que ses produits font le contraire.
Alexa n'est pas en reste et constitue un vritable cauchemar pour les parents
Dans la deuxime srie d'accusations, la FTC attaque Amazon au sujet de la politique de rtention des donnes de ses appareils Alexa. Le gant de Seattle est accus de violer les droits des parents et des enfants conformment la loi fdrale sur la protection de la vie prive des enfants en ligne (Children's Online Privacy Protection Act - COPPA). La rglementation COPPA, promulgue en 1998, est conue pour protger les informations personnelles collectes par les services en ligne et les sites Web sur les enfants de moins de 13 ans. Elle donne galement aux parents le droit de supprimer ou de restreindre l'utilisation des donnes collectes.
La plainte, dpose devant le tribunal fdral de Seattle, indique que le haut-parleur intelligent et le service d'assistant vocal Amazon Alexa ont conserv indfiniment les enregistrements des enfants, parfois mme aprs que les parents ont demand que les enregistrements vocaux soient supprims. Amazon conservait indfiniment les enregistrements des enfants, moins qu'un parent ne demande ce que ces informations soient supprimes. Et mme lorsqu'un parent demande la suppression de ces informations, Amazon ne supprime pas les transcriptions de ce que les enfants ont dit dans toutes ses bases de donnes , affirme la FTC.
Les enregistrements comprenaient galement des transcriptions et des donnes de golocalisation sensibles collectes par les appareils Alexa et conserves dans les bases de donnes d'Amazon. Amazon a fait valoir que la conservation des donnes tait ncessaire, entre autres, pour former les modles d'IA sous-jacents d'Alexa afin d'amliorer la reconnaissance des voix des enfants. Cependant, selon la FTC, Amazon utilisait les enregistrements vocaux des enfants l'insu des parents, ce qui est contraire la COPPA qui exige que les parents soient informs de la manire dont les donnes concernant les enfants de moins de 13 ans sont utilises.
Les antcdents d'Amazon en matire de tromperie des parents, de conservation indfinie des enregistrements des enfants et de mpris des demandes de suppression des parents ont viol la COPPA et sacrifi la vie prive aux profits des bnfices. La COPPA n'autorise pas les entreprises conserver indfiniment les donnes relatives aux enfants, quelle qu'en soit la raison, et certainement pas pour former leurs algorithmes , a dclar Samuel Levine, directeur de la FTC.
Amazon condamn une amende de 30,8 millions de dollars pour inconduite
Dans les deux cas, Amazon devra verser au total 30,8 millions de dollars au gouvernement amricain pour rgler les deux plaintes. Dans le cadre du rglement Ring, Amazon devra payer une amende de 5,8 millions de dollars pour les violations de la vie prive, qui sera utilise pour rembourser les consommateurs. De son ct, Amazon rfute les allgations de la FTC, mais accepte le rglement. Dans un communiqu, un porte-parole d'Amazon a dclar : bien que nous soyons en dsaccord avec les allgations de la FTC concernant Alexa et Ring, et que nous nions avoir viol la loi, ces rglements mettent ces questions derrire nous .
Le rglement, qui s'tend sur 20 ans, exigera galement que Ring supprime toutes les vidos de clients et de visages identifiables collectes avant 2018 et informe tous les clients des actions de la FTC et de tout incident futur en matire de protection de la vie prive. Dans le cas d'Alexa, Amazon devra supprimer tous les comptes enfants inactifs, certains enregistrements vocaux et les informations de golocalisation. Il sera galement interdit Amazon d'utiliser ces donnes pour entraner ses algorithmes. L'amende totale de 30,8 millions de dollars est considre comme une goutte d'eau pour le gant de la vente au dtail en ligne.
Au premier trimestre 2023, Amazon a fait un bnfice net de 3,2 milliards de dollars, ce qui signifie que l'entreprise peut mettre ces petits paiements derrire elle avec l'quivalent d'un seul jour de liquidits excdentaires. Mais les malheureux clients de Ring qui ont t, comme l'a dcrit la FTC, agresss verbalement chez eux mettront probablement des annes se remettre des incidents peu glorieux que le laxisme d'Amazon a rendus possibles.
Sources : plainte de la FTC contre Alexa, document de la plainte de la FTC contre Ring (PDF)
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des allgations de la FTC contre Ring et Alexa ?
Voir aussi
