La Federal Trade Commission (FTC) des États-Unis a accusé cette semaine les divisions Ring et Alexa d'Amazon d'un nombre impressionnant de violations liées à la vie privée. Amazon est accusé d'avoir permis aux employés des divisions Ring et Alexa d'espionner les clients, de créer une atmosphère propice aux intrusions des pirates informatiques et de conserver illégalement les enregistrements de voix d'enfants effectués par son assistant vocal. Amazon est condamné à payer plus de 30 millions de dollars d'amendes. Ces accusations interviennent après que plusieurs rapports ont révélé que Ring et Alexa sont en difficulté depuis quelques années maintenant.Bien que les appareils pilotés par Alexa, notamment les haut-parleurs Echo, semblent populaires auprès des consommateurs, ils n'ont jamais eu une bonne presse. Ces appareils représentent un cauchemar pour la confidentialité et la vie privée des consommateurs. Par le biais de ses enceintes connectées, Amazon collecte une quantité impressionnante d'informations personnelles sur les utilisateurs et les vend ou les exploite à des fins de marketing. Cette rétention des données personnelles a été dénoncée au fil des ans, mais Amazon a toujours nié les allégations de violation de la vie privée, affirmant qu'il se sert ces informations uniquement pour améliorer Alexa.
Les employés de Ring avaient un accès illimité aux flux vidéo des caméras
Mercredi, dans un rapport accablant sur enceintes connectées d'Amazon, la FTC a accusé les filiales Ring et Alexa d'Amazon d'avoir commis diverses erreurs en matière de protection de la vie privée. Dans la première série de plaintes, la FTC a accusé Ring, spécialisée dans les caméras de sécurité domestique, d'avoir compromis la vie privée des consommateurs en permettant à n'importe quel employé ou sous-traitant d'accéder aux vidéos privées des consommateurs et en ne mettant pas en œuvre les protections de base en matière de sécurité et de protection de la vie privée, ce qui a permis à des pirates de pénétrer l'infrastructure et de lire les données.
« Non seulement chaque employé de Ring et chaque sous-traitant basé en Ukraine pouvait accéder aux vidéos de chaque client (stockées en clair sur les serveurs de Ring), mais ils pouvaient également télécharger facilement les vidéos de n'importe quel client et les visionner, les partager ou les divulguer à leur guise », rapporte la FTC dans la plainte déposée auprès du DOJ. L'action en justice expose quelques-unes des violations de la vie privée que le régulateur a relevées lors de son enquête. Le document décrit comment un agent du service clientèle peut avoir besoin d'accéder aux données vidéo d'un client particulier pour résoudre un problème.
Selon la FTC, ce même agent du service clientèle ayant un accès illimité à des vidéos appartenant à des milliers de clients qui n'ont jamais contacté le service clientèle. Autre constat encore plus effrayant que le précédent est décrit par le régulateur américain comme suit : « bien qu'un ingénieur travaillant sur la caméra à projecteur de Ring puisse avoir besoin d'accéder à certaines données vidéo provenant d'appareils extérieurs, cet ingénieur avait un accès illimité aux images de l'intérieur des chambres à coucher des clients ». Le personnel de Ring n'avait pas été formé à la gestion des données privées et l'entreprise n'avait pas limité les accès.
La plainte mentionne également qu'un employé a visionné des milliers d'enregistrements vidéo appartenant à au moins 81 utilisatrices et a concentré ses recherches sur des caméras dont les noms indiquaient qu'elles surveillaient un espace intime, comme "Chambre principale", "Salle de bain principale" ou "Caméra espionne". La plainte indique que l'employé a passé plus d'une heure par jour à faire ce genre de choses, sans être détecté par Ring, pendant des mois. Puis, lorsqu'une collègue a signalé cette activité, son supérieur n'a pas tenu compte du rapport, affirmant à l'employée qu'il était "normal" qu'un ingénieur consulte autant de comptes.
Ce n'est qu'après avoir remarqué que l'employé masculin ne regardait que des vidéos de "jolies filles" que le superviseur a fait remonter le rapport d'inconduite. Ring a réagi à cet incident de 2017 en limitant l'accès aux vidéos pour le personnel du service clientèle, mais d'autres employés ont conservé l'accès aux vidéos. Selon la FTC, les employés de Ring avaient un accès illimité non seulement aux vidéos des clients, mais "plusieurs sous-traitants tiers étaient en mesure de visionner, de télécharger et de transférer les données vidéo sensibles des clients à leurs propres fins". Les clients n'étaient pas bien informés sur les usages qui sont faits de leurs vidéos.
Les mauvaises pratiques de sécurité de Ring faisaient le bonheur des pirates
La division Ring est également accusée de ne pas avoir mis en œuvre des contrôles de sécurité de base à la fois sur ses produits et sur son environnement de travail, offrant ainsi aux acteurs de la menace un terrain de jeu infini pour pirater et harceler les consommateurs....
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
