Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Cox Media Group (CMG) admet écouter les conversations pour du ciblage publicitaire

Cox Media Group (CMG) admet écouter les conversations pour du ciblage publicitaire

Bence Boros

Le 22 décembre 2023 à 08h15

Le conglomérat américain Cox Media Group (CMG) déclare à ses clients pouvoir écouter les conversations « d’ambiance » par l’intermédiaire des microphones de smartphones, smart TV et autres outils intelligents, selon différents supports marketings consultés par le média 404.

Nommée « Active Listening », la fonctionnalité serait présentée par l’entreprise comme permettant d’identifier de nouveaux clients « via des conversations en temps réel ».

Les documents récupérés par le média ne permettent pas de savoir avec certitude si le dispositif est déjà utilisé, mais il est présenté comme « adapté au futur » (et parfaitement « légal », car les consommateurs tendent à accepter les conditions d’utilisation lorsqu’ils achètent de nouveaux outils et/ou installent de nouvelles applications).

Le 22 décembre 2023 à 08h15

Commentaires (48)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
En même temps, qui prend le temps de lire les CGU d'une appli? Souvent rédigées dans la langue de Britney Spears? (enfin, même dans la langue d'Aya Nakamura, on ne prend pas le temps de lire l'indigeste pavé de x pages de CGU!!)
Après, pas dit que ce genre d'autorisation soit légal en France...

H.S. : cet article est badgé "Le Brief", mais n'apparait pas quand on clique sur le lien de notre Brief quotidien...
votre avatar
H.S. : cet article est badgé "Le Brief", mais n'apparait pas quand on clique sur le lien de notre Brief quotidien...
Les briefs publiés en journée sont assignés à la compil' du lendemain :)
votre avatar
Moi, c’est d’ailleurs l’une des raisons qui explique ma sobriété en logiciels et services (pas de temps a consacrer a des choses qui ne me sont pas indispensable et pas envie de dire "oui" a n’importe quoi).

Sinon pour les fainéants il y a des initiatives :

code.gouv.fr République Française

https://tosdr.org/


Sinon depuis quand c’est une bonne idée d’accepter des choses qu’on ne comprends pas ?
votre avatar
N'y a-t-il pas une obligation à informer des conditions spécifiques avant l'acte de vente ?
votre avatar
En France, peut-être.... Mais au USA....
votre avatar
Valider les CGU ça compte pour un "consentement libre et éclairé" ?
votre avatar
Libre, spécifique, éclairé et univoque. Ce dernier critère n'est pas rempli :)

https://www.cnil.fr/fr/les-bases-legales/consentement
votre avatar
Dans tous les cas, valider les CGU ne vaut pas consentement de la part de tous les gens qui pourraient être à portée.

Aux USA je sais que la loi varie par état, en France j'ai un gros gros doute vis à vis du respect de la vie privée (régime : toutes les parties doivent être informées et d'accord)
votre avatar
Sur les smartphones en principe il faut donner la permission non ?
Pour le reste... Aie.
J'achète autant que possible des choses sans micro ou caméra. J'ai pris une "air mouse" (souris-gyro) j'ai cru qu'il y avait un micro dedans quand je l'ai reçue. Ouverte, non, rien, sinon ça aurait été le fer à souder...
votre avatar
"Autoriser sur la base d'une permission" ne signifie pas "autoriser sur la base d'un usage légitime". Typiquement, tu peux donner la permission à une application d'accéder à tes contacts mais ne sachant pas ce qu'il en fera...
votre avatar
Oui bien sûr. Mais à part les messageries, pas d'accès à mes contacts. Et audio "pendant que l'appli tourne" pour les messageries.

Mais il faut plutôt prendre ma question dans le sens "je me trompe ? Y'a moyen de contourner ?"
votre avatar
Le contrôle d'accès est un concept cyber aussi fondamental que la cryptographie et c'est mon domaine de recherche donc je peux répondre :)

Dans les grandes lignes, Android s'appuyant sur Linux bénéficie donc des modèles de contrôle standard de ce dernier dont SELinux. À ma connaissance et sauf exception, c'est ce dernier qui est utilisé par la plupart des distributions Android.

Il s'agit d'un modèle de type Type Enforcement (TE) utilisé de façon obligatoire (MAC) donc du quasi top en terme de garantie de sécurité. Il souffre néanmoins de trois limitations :
1/ les politiques de contrôle sont fastidieuses et complexes à écrire donc source d'erreurs ;
2/ le contrôle se fait exclusivement sur les accès directs, il est donc possible de contourner SELinux via un flux indirect
3/ SELinux - comme d'autres - est dans l'incapacité absolue de contrôler ce qui se passe à l'intérieur d'une application/processus

Sur ce dernier point, un autre modèle de contrôle d'accès prends le relais : les Capabilities.

Les applications s'exécutent dans une machine virtuelle dont l'hyperviseur se nomme Dalvik. Enfin ... ART sur les versions récentes d'Android mais c'est une autre histoire. Pour faire simple, les spécifications d'Android définissent un ensemble de permission nécessaire pour appeler des APIs précises de la machine virtuelle. Les applications possédant l'une de ces permissions est ainsi en capacité d'appeler les APIs, d'où le nom de ce modèle. Typiquement, c'est ce qu'il se passe lorsqu'une application te demande de pouvoir accéder à tes contacts, passer des appels, etc... Sans rentrer dans les détails mathématiques, c'est du très robuste mais tricky à implémenter correctement. La majorité des vulnérabilités ayant affecté Java, Dalvik, ART, ou encore .Net sont relatives à cette difficulté.

Donc pour résumer : oui c'est contournable mais il faut s'accrocher pour y arriver :)
votre avatar
Merci pour ta réponse. Je suis friand de plus de détails (exemple typique sous Windows, pour contourner les permissions firewall d'un processus, il "suffit" d'injecter son code dans un autre processus, quand je dis "il suffit", je comprends bien que ce n'est pas à la portée du débutant, mais ça reste assez facile)
votre avatar
Le modèle de contrôle obligatoire de Windows est Mandatory Integrity Control (MIC) qui est de type Multiple Level of Security (MLS). Il est plutôt robuste malgré certaines limitations intrinsèques à l'usage de niveaux de sécurité. En pratique, il est plus aisé de voler les credentials d'un utilisateur Windows que de s'attaquer frontalement à MIC.

Si le sujet t'intéresses, tu peux commencer par lire cette thèse : https://www.theses.fr/2015ORLE2023
votre avatar
Question con : il se passe quoi lors du 1er allumage de la TV si on refuse les CGU ?
La TV refuse de se mettre en marche ?
Ou alors il y a ensuite moyen de désactiver la fonctionnalité ?
votre avatar
Selon les modèles, c'est parfois la misère.

Ma tv Sony, après sa 1e mise à jour, a affiché un écran de CGU pour "analyse des habitudes à but publicitaire". Tant que je ne validais pas, impossible de lancer l'app Youtube ainsi que le lecteur video/DLNA intégré.
votre avatar
Même topo chez LG :/
votre avatar
« car les consommateurs tendent à accepter les conditions d’utilisation lorsqu’ils achètent de nouveaux outils »

Ben en même temps tu n’as pas le choix c’est soit tu acceptes soit le produit est inutilisable. Je ne pense pas qu’on puisse parler de consentement ici.

Enfin chez moi la « Smart TV connectée » est déconnectée, ni RJ45 ni Wifi. C’est un écran pur.
votre avatar
Il reste souvent le bluetooth non désactivable car télécommande bluetooth avec micro. :/

ALors certes derrière ce n'est connecté à rien, mais quelqu'un de proche peut utiliser la faille du bluetooth. :(

Tout ce monde moderne connecté c'est une plaie.

Et on peut rajouter toutes les voitures modernes et connectées. (cf l'étude de mozilla)
votre avatar
Ca relève de la paranoïa après l'histoire de la télécommande en BT connectée à rien mais piratable par le voisin :). Il y a beaucoup de façons techniquement plus simple que ca..
votre avatar
Non ce n'est pas de la paranoïa.
On rappellera la faille bluetooth CVE-2023-45866 présente sur android, corrigé sur le patch de décembre. Or on le sait tous le suivi des maj des tv android par exemple est proche du néant. (et il faut en plus être connecté du coup pour pouvoir les mettre à jour).

Quand à savoir si ça en a un quelconque intérêt pour espionner un particulier c'est une chose différente. Le fait est que la faille elle est bien là.
Mais ne pas oublier que certaines de ces TV se trouvent dans des entreprises comme écran dans les salles de réunions, proches de parking public et là l’intérêt d’espionner ce qui s'y passe est tout autre...
votre avatar
Si, c'est de la parano, une faille dans le BT qui peut être exploitée que par un connaisseur, dans le rayon de portée du BT, sous réserve qu'elle ne soit pas comblée.

À ce moment va vivre sous terre dans un bunker.

Il y a 50 façons d'espioner plus facilement un voisin, avec zéro compétence. Si tu as peur que t'es voisins t'écoutent, le BT d'une TV non connectée devrait être ton dernier soucis...

Bref, c'était un petit parenthèse sans importance.
votre avatar
La portée du bluetooth ne s'arrête pas à celle de tes voisins quand tu es en ville...

Et comme évoqué de tel tv se trouvent aussi en entreprise à porté de parking publiques.

Quand au maj des tv android ou autre ça fait doucement rire.
Une tv panasonic achetée il y a moins d'un mois: maj android 11 patc mai 2023, bbox tv android 9 patch mai 2023 etc.

Autant dire que ce patch de décembre tu peux l'attendre avant longtemps.

Et la faille ne permet pas qu'écouter, tu peux saisir tout ce que tu veux donc télcharger un trojan etc.

Ne pas oublier qu'android est aussi présent dans les voitures modernes....

Bref ça ne s'arrête pas juste au cadre de l'écoute par ton voisin.
votre avatar
Pour le micro il y a le fer à souder, la perceuse...
Et au cas où, lis mon post plus haut, je ne plaisante pas. J'étudie l'achat d'une Shield, mais comme elle sera connectée au réseau, le micro devra obligatoirement sauter.

Les voitures ça fait peur, j'ai regardé, Toyota propose de tout désactiver. Ok, comment ? Une option acceptable c'est couper l'alimentation, par exemple du module radio. Y'a plein de façons pas top de désactiver.
votre avatar
Honnêtement c’est qu’une question de temps avant que ces objets intègrent une connectivité 4G/5G sous prétexte de simplicité et de sécurité. Amazon le fait déjà depuis très longtemps avec les Kindle et depuis les coûts de ces technos (et de la bande passante) ont plongé en flèche. À mon avis c’est déjà prêt et les fabricants attendent juste que l’un d’entre eux fasse le premier pas histoire de voir comment ça se passe et comment ils vont faire passer la pilule.
votre avatar
Oui je me dis que le jour où j'aurais une smart tv (en gros parce que y'aura pas d'autre option ou que ça sera significativement moins cher), elle servira juste d'écran. Je préfère mettre un média player sans camera/micro.
votre avatar
Est ce que Pi-hole peut fonctionner dans le sens montant ?
votre avatar
Pi-hole ou autre, certains trouveront moyen de bloquer la remontée de data. Je ne me fais pas de soucis là-dessus.

Mais en attendant...
votre avatar
C'est son fonctionnement. Pi-hole n'empêche pas les flux entrant, il bloque les requêtes dns pour les flux sortant.
votre avatar
Même un Pi-hole peut ne pas suffire si les DNS sont codés en dur dans la TV.

Plus d’infos sur des techniques de blocage des collectes de données par les TV : https://sebsauvage.net/links/?Utw8FQ
votre avatar
C'est drôle car quelque part ça confirme une réflexion que l'on s'est fait plusieurs fois avec ma femme.

C'est arrivé à plusieurs reprises que nous ayons une discussion sur un sujet, un produit par exemple. Et, alors qu'elle n'a jamais fait de recherche dessus, l'application Facebook s'est ensuite mise à lui afficher des publicités en lien avec notre conversation.
Au début on a cru à une coïncidence. Sauf que cela s'est reproduit plusieurs fois.

Alors quand c'est un produit sur lequel la personne a pu faire des recherches depuis son smarpthone,avec le tracking ça ne me surprend pas.
Mais quand c'est suite à une discussion juste auparavant, et qu'aucune recherche n'avait été faite jusque là... ça interroge pas mal...
votre avatar
Les articles que j'avais lu jusque-là (et dont je n'ai, bien sûr, pas conservé les liens) et qui faisaient une analyse des flux ne constataient pas d'analyse des conversations mais plutôt des coïncidences (un peu comme quand on pense à quelqu'un dont on a pas eu de nouvelles depuis longtemps et que cette personne nous appelle).

Mais ça remonte à quelques années et cet article du Brief ne me rassure pas du tout. :/
votre avatar
Oui je m'étais également renseigné et j'avais aussi lu que les analyses ne montraient rien. Mais ça a pu évoluer depuis malheureusement... c'est assez récent, disons moins de deux ans, que l'on constate cela.


Je suis de nature sceptique mais à un moment on finit forcément par s'interroger 😅
Surtout pour ressortir exactement le sujet de nos conversations. A noter que l'on a constaté la même chose avec des amis, que ça a tout autant surpris. Ça fait beaucoup trop de coïncidences pour que ce ne soit que le hasard.

Par contre on a noté cela qu'avec Facebook.
votre avatar
Pour ma part je fais attention aux autorisations que je donne aux applications installées sur mon smartphone.
Ma femme par contre n'est pas assez sensibilisée sur ça (c'est pas faute d'essayer lol). C'est possible qu'elle ait donné les accès au microphone sans le savoir.

Je regarderais et je désactiverais les autorisations si besoin. On verra bien si ça change quelque chose.
votre avatar
Quand tu trouves ce genre de trucs chez les autres, il doit être fun de lui parler de trucs bien hard et d'attendre les publicités pour les articles associés genre sex toys :mad2:
votre avatar
Si encore dans un tel cas, il y avait un voyant pour indiquer que le micro est opérationnel et actif. Mais bon, personnellement, ce genre d'attitude m'exaspère... et explique en partie mon choix de ne PAS avoir de TV, ni d'appareils dits "connectés". Certes, je dispose d'une domotique, mais elle s'appuie sur un point d'accès WiFi qui n'autorise aucun accès sur l'extérieur. Pour les autres appareils (notamment en cas d'oubli et mauvaise configuration), c'est AdguardHome qui joue au DNS menteur, et c'est très bien.
votre avatar
Le voyant s'allume de façon logicielle, donc indépendamment du capteur. Il n'est donc pas fiable. Il y a longtemps, je faisais danser les leds (maj, pause...) de mon clavier, sans que cela n'altère la saisie.
Pour qu'un voyant soit fiable, il faudrait le relierau capteur, cela à la conception matérielle.
Note : c'est identique avec un interrupteur, d'ailleurs sur un iPhone récent je crois c'est programmable.
votre avatar
Sous iOS il existe un tel indicateur d’utilisation du microphone ou de la caméra : support.apple.com Apple
Il faudrait que ça soit systématisé sur tous les systèmes
votre avatar
Y'en a un sur Android aussi. Logiciel.
votre avatar
Il y a quelques téléphones avec un bouton matériel pour désactiver le micro.
Il y a longtemps, je mettais un Jack dans la prise micro de mes pc portable, à cette époque, l'insertion déplaçait une patte dans le Jack femelle et coupait le micro (un seul ADC).

Depuis, on est passé en software. La désactivation ou non est gérée par logiciel, donc aucune certitude.
votre avatar
En même temps, autant la TV c'est difficile sauf à ne pas la relier à un réseau. Autant les micros à la con de facedebouc et gogole, il faut pas être malin pour acheter ça...
votre avatar
Sauf que maintenant Google Home ou Alexa sont intégrés a des TV, des smartphones, des voitures, des réveils, des montres, des casques. Ca devrait pas tarder d'arriver dans les frigo, fours, etc... Bref ca va pas être simple de faire le tri à force !
votre avatar
Mais c'est déjà le cas les frigos connectés hein , pas très en vogue en France certes, mais ya des samsung ( et surement d'autres grande marques ) avec des tablettes connectées directement avec service amazon ou non, et parfois des appareils photos pour faire apparaitre l'intérieur du frigo sans avoir à l'ouvrir
votre avatar
Oui, j'ai déjà vu sur le Web mais jamais en vrai. J'espère que ca n'arrivera pas si vite en tous cas..
votre avatar
ll suffirait que les gens n'achètent pas pour que l'on arrête d'en vendre, je dirais!
votre avatar
Oui, sauf que c'est simple 1 dire, plus compliqué dans les faits
votre avatar
A quand des CGU compréhensibles par l'utilisateur lambda ? (ie, claires, pas excessivement longues)
votre avatar
Je me pose la question : est-ce que cette solution outrepasse les droits donnés à une application (accès microphone, etc) ?
Auquel cas ça me semble complètement illégal, peu importe l'acceptation des CGU.

Parce que si l'on coupe l'accès au microphone dans les autorisation d'Android, par exemple, ça ne devrait pas fonctionner en tout logique.

Cox Media Group (CMG) admet écouter les conversations pour du ciblage publicitaire

Fermer