Discussion :

[Stéphane le calme]

Suite à une demande de données relative au RGPD, Amazon a envoyé 1 700 enregistrements audio Alexa
au mauvais utilisateur.

En août, en Allemagne, un client Amazon du nom de Martin Schneider a fait usage de son droit d’accès aux données personnelles sur lui sauvegardées par l’entreprise, droit qui lui est accordé par le nouveau règlement général de l’UE sur la protection des données (RGPD).

Quelques mois plus tard, un lien de téléchargement vers un fichier ZIP de 100 Mo lui a été envoyé. Environ 50 des fichiers compressés contenaient des données relatives à des tâches courantes telles que les recherches sur Amazon, mais il y avait également environ 1 700 fichiers WAV et un fichier PDF cataloguant les transcriptions non triées des interprétations d’Alexa de ses commandes vocales.

Il a été extrêmement surpris de trouver ces fichiers car il n’utilisait pas Alexa et ne possédait aucun appareil compatible avec Alexa. Il a écouté des échantillons de fichiers aléatoires, mais n’a reconnu aucune des voix qu’ils contenaient.

Le 8 novembre, il a contacté le service clientèle d’Amazon.de pour leur dire que les fichiers qu’il avait reçus étaient manifestement ceux de quelqu'un d’autre. Il a également demandé plus d'informations sur la personne à qui ils pourraient appartenir. Il n'a jamais reçu de réponse, mais peu après, il a constaté que le lien de téléchargement vers les fichiers était mort. Schneider avait déjà sauvegardé les fichiers localement et avait contacté des experts à la mi-novembre, inquiet des conséquences de ce qu’il avait découvert.

Sur la base de détails tels que les noms des personnes et les prévisions météorologiques locales enregistrées dans les fichiers, les experts ont rapidement pu identifier le malheureux utilisateur d’Echo dont les données ont été révélées de manière illégale par Amazon.

N’ayant pas le contact téléphonique de la victime, les experts sont passé par Twitter pour lui demander de les contacter, ce qu’elle a fait.

Il a immédiatement rappelé et nous avons expliqué comment nous l'avons trouvé. Nous avons relancé la lecture audio et Neil Schmidt (un nom fictif) s’est montré choqué de manière audible lorsque nous lui avons parlé des données personnelles envoyées par Amazon à un étranger. Il a commencé à parcourir tout ce que lui et ses amis avaient demandé à Alexa et s’est demandé quels secrets ils auraient pu révéler. Il a également confirmé que nous avions correctement identifié sa petite amie.

La victime s’est montrée choquée par ce qui s’est passé, surtout qu’Amazon n’a pas pris la peine de la contacter pour lui dire qu’il y avait eu une fuite et encore moins pour lui expliquer ce qui s’est passé.

Selon la victime (Neil Schmidt), Amazon ne l’a pas contacté non plus. Les systèmes de protection des données d’Amazon sont manifestement défectueux à plusieurs niveaux. Les experts affirment avoir contacté Amazon à propos du cas sans préciser qu’ils ont pu identifier la victime. Selon la loi, Amazon est obligé de contacter les autorités de protection des données dans les 72 heures qui suivent la découverte d'une telle violation, et les chercheurs voulaient savoir si l’entreprise allait réellement le faire.

Amazon a refusé de répondre à leurs questions, mais leur a écrit quelques jours plus tard pour dire que l'affaire en question était un « incident malheureux » résultant d'une erreur humaine : « Ce cas malheureux est le résultat d'une erreur humaine et il s’agit d’un cas isolé », a déclaré jeudi un porte-parole d'Amazon. Ils ont également expliqué qu'ils avaient résolu le problème avec les deux clients et avaient introduit des mesures pour améliorer les processus impliqués.

Selon Martin Schneider, Amazon a « résolu » le problème en demandant à quelqu'un de l'appeler (trois jours après avoir contacté Amazon) pour lui expliquer qu'un membre de son personnel avait commis une erreur ponctuelle. Le même jour, Amazon a également appelé Neil Schmidt pour lui dire que ses fichiers vocaux Alexa étaient tombés entre de mauvaises mains.

Pour les experts, le fait qu’Amazon ait lié les données d’un client à la mauvaise personne et n’a pas remarqué l’erreur indique un grave manque de contrôle sur les processus impliqués. Il est évident qu’aucun contrôle sérieux n’a eu lieu. La situation est aggravée par le fait que Martin Schneider n'a pas reçu de réponse lorsqu'il a informé Amazon de l'erreur. Cependant, la FAQ sur la confidentialité des données d’Amazon indique qu’elle enregistre les fichiers pour l’aider à développer ses systèmes de reconnaissance vocale et linguistique. Amazon souligne également le fait que les clients peuvent consulter et supprimer des enregistrements vocaux sur amazon.de/alexaprivacy. Il n’est pas clair combien de clients connaissent cette option ou combien l’utilisent réellement.

Source : rapport (au format PDF)

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Amazon implémente des techniques d'auto-apprentissage dans Alexa, pour que son assistant numérique puisse mieux comprendre les utilisateurs
Amazon a annoncé qu'il va construire ses propres puces pour piloter ses serveurs, Intel devrait-il s'inquiéter ?
24 ouvriers d'Amazon soignés à l'hôpital après qu'un robot ait déchiré accidentellement une bombe anti-ours, dans un entrepôt à News Jersey
Amazon est devenu pendant quelques secondes l'entreprise technologique la plus valorisée au monde en devançant Apple, Microsoft et Alphabet
Amazon lance un vérificateur de compatibilité matérielle pour les PC, pour aider les utilisateurs qui veulent changer les pièces de leurs machines

[bali0x4d]

Tiens donc et la marmotte elle met le chocolat dans le papier d'alu.
Franchement je trouve ça déjà dérangeant qu'ils gardent des enregistrements vocaux. Mais c'est pour notre bien qu'ils disent.

[MysticKhal_0]

Zip de 100Mo, 1700 fichiers WAV, ça semble douteux, même si je suis le premier à critiquer ce genre de boites.

[23JFK]

...

Pas nécessairement, il ne s'agit certainement pas de fichiers stéréo, ni même d'enregistrements en haute qualité, et une requête vocale dure rarement plus de deux secondes, alors, une fois compressé, cela doit pouvoir tenir dans un amas de 100Mo.

[Ryu2000]

Zip de 100Mo, 1700 fichiers WAV

Ouais en effet le format wav est non compressé, donc ça pèse lourd. (c'est pas du .flac, .ogg, .mp3)
En gros 700MB correspond à 80 minutes de wav, non ?

Si j'ai compris il a écrit que dans un fichier zip de 100 Mo il y a :
- 50 des fichiers compressés contenaient des données relatives à des tâches courantes telles que les recherches sur Amazon
- 1 700 fichiers WAV
- un fichier PDF cataloguant les transcriptions non triées des interprétations d’Alexa de ses commandes vocales

une requête vocale dure rarement plus de deux secondes

Ouais mais pour entendre les requêtes Alexa doit écouter en permanence.
Alors peut-être que tout le reste n'est pas sauvegardé, mais on sait jamais...

[abriotde]

Mais le problème n°1 c'est que le système n'a pas été mis en place proprement. il aurait fallut des années pour le mettre en place. Les entreprises ont peur des sanctions, et donc le travail est fait à la main avec les erreur humaine qui y arrivent. Chez les grandes entreprises encore ç'est géré d'une manière correct (mais avec des erreurs). Le RGPD est une loie votée à la va vite et appliqué sans délai réaliste, qui entraîne des failles de sécurité dans les entreprises européennes. Je suis persuadé que si je voulais je pourrais obtenir les information d'une autres personnes en le demandant sous le couvert du RGPD