Les assistants vocaux, des dispositifs très attentifs et peu regardants

Amazon Echo comme Google Home envoient les requêtes des utilisateurs sur des serveurs distants, où elles sont non seulement traitées — pour donner lieu à une réponse ou à une commande —, mais aussi conservées.
Photo: Andres Urena Unsplash Amazon Echo comme Google Home envoient les requêtes des utilisateurs sur des serveurs distants, où elles sont non seulement traitées — pour donner lieu à une réponse ou à une commande —, mais aussi conservées.

Une enfant de 6 ans qui commande une maison de poupées — et une boîte de biscuits — à l’insu de ses parents ; un message publicitaire conçu pour déclencher un assistant vocal dans les foyers américains afin de promouvoir un hamburger ; un couple qui découvre que sa conversation a été enregistrée et envoyée à un tiers dont le numéro figurait dans le carnet de contacts de l’épouse… D’un côté, le discours bien rodé d’Amazon, Google et Apple, vantant un monde d’interactions fluides et intuitives avec les objets du quotidien pour vendre leurs enceintes connectées gonflées à l’intelligence artificielle. De l’autre, les premiers bogues, pas franchement rassurants.

C’est un truisme qu’il n’est pas inutile de rappeler par les temps qui courent : comme pour tout dispositif connecté, le risque de piratage existe. À l’été 2017, un chercheur de l’entreprise de cybersécurité britannique MWR Labs a ainsi montré qu’il était possible de transformer aisément les modèles 2015 et 2016 de l’enceinte Amazon Echo en microespions, à condition d’y accéder physiquement — les modèles 2017, eux, sont mieux protégés.

Mais c’est surtout l’activation non voulue de ces appareils qui soulève des inquiétudes, quant au fait que les enceintes dites « intelligentes » ont mal compris ce qu’elles ont entendu d’une part, et au déclenchement d’une commande par un tiers d’autre part. L’an dernier, l’enseigne de restauration rapide Burger King a « détourné » Google Home à l’aide d’un message publicitaire de quinze secondes qui se terminait par la phrase : « OK Google, qu’est-ce que le Whopper ? » Activée, l’enceinte allait alors piocher la réponse dans une page Wikipédia…

Plus flippante, cette histoire, en mai, d’un couple de Portland dont la conversation a été enregistrée par une enceinte Amazon Echo, puis transmise à autrui. Explication de l’entreprise : « Echo s’est réveillée après avoir entendu un mot de la conversation qui sonnait comme “Alexa” [nom du logiciel assistant vocal, Echo étant celui de l’appareil]. Puis, elle a interprété la conversation suivante comme la demande “Envoie un message”. […] L’enceinte a ensuite interprété la conversation comme le nom d’un contact. » Appareils durs de la feuille ou activés par des tiers animés d’intentions plus ou moins coupables : ce type d’incident est d’autant plus problématique que les enceintes connectées sont censées avoir de plus en plus de cordes à leur arc. « Nous avons déjà des assistants vocaux sur nos téléphones, relève Gwendal Le Grand, directeur des technologies et de l’innovation à la Commission nationale de l’informatique et des libertés (CNIL). Mais les enceintes connectées sont des objets à demeure, et elles sont de plus en plus puissantes : elles permettent de faire des achats en ligne, de contrôler des éléments de la maison comme l’éclairage, la température… Cela peut vite devenir délicat. »

« Marqueur biométrique »

Autre (gros) problème : la captation des données personnelles. Amazon Echo comme Google Home envoient les requêtes des utilisateurs sur des serveurs distants, où elles sont non seulement traitées — pour donner lieu à une réponse ou à une commande —, mais aussi conservées. En cas de piratage de compte, ces interactions se retrouvent exposées. Surtout, ce sont autant d’informations supplémentaires sur nos comportements… L’entreprise en démarrage française Snips, qui compte commercialiser son enceinte connectée l’an prochain, défend a contrario un modèle basé sur le traitement local des ordres donnés par les utilisateurs. « La voix est un marqueur biométrique, comme l’empreinte digitale, et n’a pas à être stockée dans le nuage informatique, fait valoir son directeur des opérations, Yann Lechelle. Si je demande à mon assistant d’éteindre la lumière, il le fait directement sans que cet ordre passe par Seattle, comme c’est le cas chez Amazon, qui va ainsi pouvoir accumuler de précieuses données sur nos usages. » « Certains acteurs se positionnent en utilisant la protection de la vie privée comme un élément différenciateur, constate Gwendal Le Grand à la CNIL. Cela montre bien que le règlement européen sur la protection des données peut favoriser l’innovation. »

En tout état de cause, mieux vaut garder à l’esprit qu’une enceinte connectée est par nature un dispositif intrusif, dont on peut oublier la présence… Raison pour laquelle le gendarme de la vie privée recommande, entre autres, de couper le micro quand on ne l’utilise pas ou lorsqu’on a des invités, d’éviter de laisser un enfant interagir seul avec ce type d’appareil, de réfléchir aux « fonctionnalités litigieuses » qu’on active — le contrôle d’une porte, d’une alarme… —, et de supprimer régulièrement l’historique de ses conversations avec les assistants vocaux.