La Federal Trade Commission (FTC) des États-Unis a accusé cette semaine les divisions Ring et Alexa d'Amazon d'un nombre impressionnant de violations liées à la vie privée. Amazon est accusé d'avoir permis aux employés des divisions Ring et Alexa d'espionner les clients, de créer une atmosphère propice aux intrusions des pirates informatiques et de conserver illégalement les enregistrements de voix d'enfants effectués par son assistant vocal. Amazon est condamné à payer plus de 30 millions de dollars d'amendes. Ces accusations interviennent après que plusieurs rapports ont révélé que Ring et Alexa sont en difficulté depuis quelques années maintenant.Bien que les appareils pilotés par Alexa, notamment les haut-parleurs Echo, semblent populaires auprès des consommateurs, ils n'ont jamais eu une bonne presse. Ces appareils représentent un cauchemar pour la confidentialité et la vie privée des consommateurs. Par le biais de ses enceintes connectées, Amazon collecte une quantité impressionnante d'informations personnelles sur les utilisateurs et les vend ou les exploite à des fins de marketing. Cette rétention des données personnelles a été dénoncée au fil des ans, mais Amazon a toujours nié les allégations de violation de la vie privée, affirmant qu'il se sert ces informations uniquement pour améliorer Alexa.
Les employés de Ring avaient un accès illimité aux flux vidéo des caméras
Mercredi, dans un rapport accablant sur enceintes connectées d'Amazon, la FTC a accusé les filiales Ring et Alexa d'Amazon d'avoir commis diverses erreurs en matière de protection de la vie privée. Dans la première série de plaintes, la FTC a accusé Ring, spécialisée dans les caméras de sécurité domestique, d'avoir compromis la vie privée des consommateurs en permettant à n'importe quel employé ou sous-traitant d'accéder aux vidéos privées des consommateurs et en ne mettant pas en œuvre les protections de base en matière de sécurité et de protection de la vie privée, ce qui a permis à des pirates de pénétrer l'infrastructure et de lire les données.
« Non seulement chaque employé de Ring et chaque sous-traitant basé en Ukraine pouvait accéder aux vidéos de chaque client (stockées en clair sur les serveurs de Ring), mais ils pouvaient également télécharger facilement les vidéos de n'importe quel client et les visionner, les partager ou les divulguer à leur guise », rapporte la FTC dans la plainte déposée auprès du DOJ. L'action en justice expose quelques-unes des violations de la vie privée que le régulateur a relevées lors de son enquête. Le document décrit comment un agent du service clientèle peut avoir besoin d'accéder aux données vidéo d'un client particulier pour résoudre un problème.
Selon la FTC, ce même agent du service clientèle ayant un accès illimité à des vidéos appartenant à des milliers de clients qui n'ont jamais contacté le service clientèle. Autre constat encore plus effrayant que le précédent est décrit par le régulateur américain comme suit : « bien qu'un ingénieur travaillant sur la caméra à projecteur de Ring puisse avoir besoin d'accéder à certaines données vidéo provenant d'appareils extérieurs, cet ingénieur avait un accès illimité aux images de l'intérieur des chambres à coucher des clients ». Le personnel de Ring n'avait pas été formé à la gestion des données privées et l'entreprise n'avait pas limité les accès.
La plainte mentionne également qu'un employé a visionné des milliers d'enregistrements vidéo appartenant à au moins 81 utilisatrices et a concentré ses recherches sur des caméras dont les noms indiquaient qu'elles surveillaient un espace intime, comme "Chambre principale", "Salle de bain principale" ou "Caméra espionne". La plainte indique que l'employé a passé plus d'une heure par jour à faire ce genre de choses, sans être détecté par Ring, pendant des mois. Puis, lorsqu'une collègue a signalé cette activité, son supérieur n'a pas tenu compte du rapport, affirmant à l'employée qu'il était "normal" qu'un ingénieur consulte autant de comptes.
Ce n'est qu'après avoir remarqué que l'employé masculin ne regardait que des vidéos de "jolies filles" que le superviseur a fait remonter le rapport d'inconduite. Ring a réagi à cet incident de 2017 en limitant l'accès aux vidéos pour le personnel du service clientèle, mais d'autres employés ont conservé l'accès aux vidéos. Selon la FTC, les employés de Ring avaient un accès illimité non seulement aux vidéos des clients, mais "plusieurs sous-traitants tiers étaient en mesure de visionner, de télécharger et de transférer les données vidéo sensibles des clients à leurs propres fins". Les clients n'étaient pas bien informés sur les usages qui sont faits de leurs vidéos.
Les mauvaises pratiques de sécurité de Ring faisaient le bonheur des pirates
La division Ring est également accusée de ne pas avoir mis en œuvre des contrôles de sécurité de base à la fois sur ses produits et sur son environnement de travail, offrant ainsi aux acteurs de la menace un terrain de jeu infini pour pirater et harceler les consommateurs. Selon la plainte, en raison du laxisme des mesures de sécurité, les pirates ont pu exploiter en permanence les vulnérabilités des comptes Ring. La FTC rapporte que les pirates ont été en mesure d'accéder à des vidéos stockées et à des flux en direct, modifier les paramètres des appareils et pirater les comptes individuels de quelque 55 000 clients américains. Mais ce n'est pas tout.
Certains pirates auraient même utilisé la fonctionnalité de caméra bidirectionnelle de Ring pour harceler, menacer et insulter des clients à leur domicile, y compris des enfants et des personnes âgées. « Des femmes allongées dans leur lit ont entendu des pirates les insulter et plusieurs enfants ont fait l'objet d'insultes racistes de la part des pirates », indique la plainte. À ce stade, La FTC a rapporté un incident qui montre l'ampleur des problèmes des appareils Ring. La plainte indique : « un pirate a dit à une personne à travers sa caméra qu'il avait tué la mère de la personne et a ensuite menacé directement cette dernière en disant "ce soir, tu meurs" ».
Ring a également été accusée de ne pas avoir protégé les informations des consommateurs contre deux menaces en en ligne bien connues : les attaques par bourrage d'identifiant et les attaques par force brute. Et ce, après avoir reçu des avertissements de la part d'employés et de chercheurs en sécurité externes, et après avoir subi de multiples attaques en 2017 et 2018. La plainte de la FTC souligne que les clients ont été avertis que Ring s'accordait des droits étendus d'accès à leurs vidéos dans ses conditions d'utilisation et sa politique de confidentialité, mais le régulateur critique ces documents comme étant une "demi-explication enterrée".
Selon la plainte, ces documents ne donnaient aux clients aucun moyen raisonnable de savoir que des centaines d'employés de Ring et de contractants tiers en Ukraine avaient un accès illimité aux flux en direct et aux vidéos stockées. La plainte souligne que le principal message marketing de Ring est que ses produits améliorent la sécurité, alors que ses actions signifient que ses produits font le contraire.
Alexa n'est pas en reste et constitue un véritable cauchemar pour les parents
Dans la deuxième série d'accusations, la FTC attaque Amazon au sujet de la politique de rétention des données de ses appareils Alexa. Le géant de Seattle est accusé de violer les droits des parents et des enfants conformément à la loi fédérale sur la protection de la vie privée des enfants en ligne (Children's Online Privacy Protection Act - COPPA). La réglementation COPPA, promulguée en 1998, est conçue pour protéger les informations personnelles collectées par les services en ligne et les sites Web sur les enfants de moins de 13 ans. Elle donne également aux parents le droit de supprimer ou de restreindre l'utilisation des données collectées.
La plainte, déposée devant le tribunal fédéral de Seattle, indique que le haut-parleur intelligent et le service d'assistant vocal Amazon Alexa ont conservé indéfiniment les enregistrements des enfants, parfois même après que les parents ont demandé que les enregistrements vocaux soient supprimés. « Amazon conservait indéfiniment les enregistrements des enfants, à moins qu'un parent ne demande à ce que ces informations soient supprimées. Et même lorsqu'un parent demande la suppression de ces informations, Amazon ne supprime pas les transcriptions de ce que les enfants ont dit dans toutes ses bases de données », affirme la FTC.
Les enregistrements comprenaient également des transcriptions et des données de géolocalisation sensibles collectées par les appareils Alexa et conservées dans les bases de données d'Amazon. Amazon a fait valoir que la conservation des données était nécessaire, entre autres, pour former les modèles d'IA sous-jacents d'Alexa afin d'améliorer la reconnaissance des voix des enfants. Cependant, selon la FTC, Amazon utilisait les enregistrements vocaux des enfants à l'insu des parents, ce qui est contraire à la COPPA qui exige que les parents soient informés de la manière dont les données concernant les enfants de moins de 13 ans sont utilisées.
« Les antécédents d'Amazon en matière de tromperie des parents, de conservation indéfinie des enregistrements des enfants et de mépris des demandes de suppression des parents ont violé la COPPA et sacrifié la vie privée aux profits des bénéfices. La COPPA n'autorise pas les entreprises à conserver indéfiniment les données relatives aux enfants, quelle qu'en soit la raison, et certainement pas pour former leurs algorithmes », a déclaré Samuel Levine, directeur de la FTC.
Amazon condamné à une amende de 30,8 millions de dollars pour inconduite
Dans les deux cas, Amazon devra verser au total 30,8 millions de dollars au gouvernement américain pour régler les deux plaintes. Dans le cadre du règlement Ring, Amazon devra payer une amende de 5,8 millions de dollars pour les violations de la vie privée, qui sera utilisée pour rembourser les consommateurs. De son côté, Amazon réfute les allégations de la FTC, mais accepte le règlement. Dans un communiqué, un porte-parole d'Amazon a déclaré : « bien que nous soyons en désaccord avec les allégations de la FTC concernant Alexa et Ring, et que nous nions avoir violé la loi, ces règlements mettent ces questions derrière nous ».
Le règlement, qui s'étend sur 20 ans, exigera également que Ring supprime toutes les vidéos de clients et de visages identifiables collectées avant 2018 et informe tous les clients des actions de la FTC et de tout incident futur en matière de protection de la vie privée. Dans le cas d'Alexa, Amazon devra supprimer tous les comptes enfants inactifs, certains enregistrements vocaux et les informations de géolocalisation. Il sera également interdit à Amazon d'utiliser ces données pour entraîner ses algorithmes. L'amende totale de 30,8 millions de dollars est considérée comme une goutte d'eau pour le géant de la vente au détail en ligne.
Au premier trimestre 2023, Amazon a fait un bénéfice net de 3,2 milliards de dollars, ce qui signifie que l'entreprise peut mettre ces petits paiements derrière elle avec l'équivalent d'un seul jour de liquidités excédentaires. Mais les malheureux clients de Ring qui ont été, comme l'a décrit la FTC, agressés verbalement chez eux mettront probablement des années à se remettre des incidents peu glorieux que le laxisme d'Amazon a rendus possibles.
Sources : plainte de la FTC contre Alexa, document de la plainte de la FTC contre Ring (PDF)
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous des allégations de la FTC contre Ring et Alexa ?Voir aussi
Des plaintes accusent Siri, Alexa et Google d'écouter quand ils ne sont pas censés le faire et Apple devrait faire face à un procès concernant la confidentialité de Siri Amazon collecte et stocke de manière inappropriée les données biométriques des consommateurs via Alexa, selon un nouveau recours collectif Amazon utilise les données vocales collectées par les haut-parleurs connectés Echo pour diffuser de la publicité ciblée, selon les résultats d'une étude Le régulateur antitrust de l'UE s'inquiète des pratiques d'exclusivité des assistants vocaux, Google, Amazon et Apple pourraient faire face à une enquête antitrust 
