Le conglomérat américain Cox Media Group (CMG) déclare à ses clients pouvoir écouter les conversations « d’ambiance » par l’intermédiaire des microphones de smartphones, smart TV et autres outils intelligents, selon différents supports marketings consultés par le média 404.
Nommée « Active Listening », la fonctionnalité serait présentée par l’entreprise comme permettant d’identifier de nouveaux clients « via des conversations en temps réel ».
Les documents récupérés par le média ne permettent pas de savoir avec certitude si le dispositif est déjà utilisé, mais il est présenté comme « adapté au futur » (et parfaitement « légal », car les consommateurs tendent à accepter les conditions d’utilisation lorsqu’ils achètent de nouveaux outils et/ou installent de nouvelles applications).
Commentaires (48)
#1
Après, pas dit que ce genre d'autorisation soit légal en France...
H.S. : cet article est badgé "Le Brief", mais n'apparait pas quand on clique sur le lien de notre Brief quotidien...
#1.1
Les briefs publiés en journée sont assignés à la compil' du lendemain :)
#1.2
Sinon pour les fainéants il y a des initiatives :
https://code.gouv.fr/fr/sill/
https://tosdr.org/
Sinon depuis quand c’est une bonne idée d’accepter des choses qu’on ne comprends pas ?
#2
#2.1
#3
#3.1
https://www.cnil.fr/fr/les-bases-legales/consentement
#3.2
Aux USA je sais que la loi varie par état, en France j'ai un gros gros doute vis à vis du respect de la vie privée (régime : toutes les parties doivent être informées et d'accord)
#4
Pour le reste... Aie.
J'achète autant que possible des choses sans micro ou caméra. J'ai pris une "air mouse" (souris-gyro) j'ai cru qu'il y avait un micro dedans quand je l'ai reçue. Ouverte, non, rien, sinon ça aurait été le fer à souder...
#4.1
#4.2
Mais il faut plutôt prendre ma question dans le sens "je me trompe ? Y'a moyen de contourner ?"
#4.3
Dans les grandes lignes, Android s'appuyant sur Linux bénéficie donc des modèles de contrôle standard de ce dernier dont SELinux. À ma connaissance et sauf exception, c'est ce dernier qui est utilisé par la plupart des distributions Android.
Il s'agit d'un modèle de type Type Enforcement (TE) utilisé de façon obligatoire (MAC) donc du quasi top en terme de garantie de sécurité. Il souffre néanmoins de trois limitations :
1/ les politiques de contrôle sont fastidieuses et complexes à écrire donc source d'erreurs ;
2/ le contrôle se fait exclusivement sur les accès directs, il est donc possible de contourner SELinux via un flux indirect
3/ SELinux - comme d'autres - est dans l'incapacité absolue de contrôler ce qui se passe à l'intérieur d'une application/processus
Sur ce dernier point, un autre modèle de contrôle d'accès prends le relais : les Capabilities.
Les applications s'exécutent dans une machine virtuelle dont l'hyperviseur se nomme Dalvik. Enfin ... ART sur les versions récentes d'Android mais c'est une autre histoire. Pour faire simple, les spécifications d'Android définissent un ensemble de permission nécessaire pour appeler des APIs précises de la machine virtuelle. Les applications possédant l'une de ces permissions est ainsi en capacité d'appeler les APIs, d'où le nom de ce modèle. Typiquement, c'est ce qu'il se passe lorsqu'une application te demande de pouvoir accéder à tes contacts, passer des appels, etc... Sans rentrer dans les détails mathématiques, c'est du très robuste mais tricky à implémenter correctement. La majorité des vulnérabilités ayant affecté Java, Dalvik, ART, ou encore .Net sont relatives à cette difficulté.
Donc pour résumer : oui c'est contournable mais il faut s'accrocher pour y arriver :)
#4.4
#4.5
Si le sujet t'intéresses, tu peux commencer par lire cette thèse : https://www.theses.fr/2015ORLE2023
#5
La TV refuse de se mettre en marche ?
Ou alors il y a ensuite moyen de désactiver la fonctionnalité ?
#5.1
Ma tv Sony, après sa 1e mise à jour, a affiché un écran de CGU pour "analyse des habitudes à but publicitaire". Tant que je ne validais pas, impossible de lancer l'app Youtube ainsi que le lecteur video/DLNA intégré.
#5.2
#6
Ben en même temps tu n’as pas le choix c’est soit tu acceptes soit le produit est inutilisable. Je ne pense pas qu’on puisse parler de consentement ici.
Enfin chez moi la « Smart TV connectée » est déconnectée, ni RJ45 ni Wifi. C’est un écran pur.
#6.1
ALors certes derrière ce n'est connecté à rien, mais quelqu'un de proche peut utiliser la faille du bluetooth. :(
Tout ce monde moderne connecté c'est une plaie.
Et on peut rajouter toutes les voitures modernes et connectées. (cf l'étude de mozilla)
#6.2
#6.3
On rappellera la faille bluetooth CVE-2023-45866 présente sur android, corrigé sur le patch de décembre. Or on le sait tous le suivi des maj des tv android par exemple est proche du néant. (et il faut en plus être connecté du coup pour pouvoir les mettre à jour).
Quand à savoir si ça en a un quelconque intérêt pour espionner un particulier c'est une chose différente. Le fait est que la faille elle est bien là.
Mais ne pas oublier que certaines de ces TV se trouvent dans des entreprises comme écran dans les salles de réunions, proches de parking public et là l’intérêt d’espionner ce qui s'y passe est tout autre...
#6.7
À ce moment va vivre sous terre dans un bunker.
Il y a 50 façons d'espioner plus facilement un voisin, avec zéro compétence. Si tu as peur que t'es voisins t'écoutent, le BT d'une TV non connectée devrait être ton dernier soucis...
Bref, c'était un petit parenthèse sans importance.
#6.8
Et comme évoqué de tel tv se trouvent aussi en entreprise à porté de parking publiques.
Quand au maj des tv android ou autre ça fait doucement rire.
Une tv panasonic achetée il y a moins d'un mois: maj android 11 patc mai 2023, bbox tv android 9 patch mai 2023 etc.
Autant dire que ce patch de décembre tu peux l'attendre avant longtemps.
Et la faille ne permet pas qu'écouter, tu peux saisir tout ce que tu veux donc télcharger un trojan etc.
Ne pas oublier qu'android est aussi présent dans les voitures modernes....
Bref ça ne s'arrête pas juste au cadre de l'écoute par ton voisin.
#6.5
Et au cas où, lis mon post plus haut, je ne plaisante pas. J'étudie l'achat d'une Shield, mais comme elle sera connectée au réseau, le micro devra obligatoirement sauter.
Les voitures ça fait peur, j'ai regardé, Toyota propose de tout désactiver. Ok, comment ? Une option acceptable c'est couper l'alimentation, par exemple du module radio. Y'a plein de façons pas top de désactiver.
#6.4
#6.6
#7
#7.1
Mais en attendant...
#7.2
#7.3
Plus d’infos sur des techniques de blocage des collectes de données par les TV : https://sebsauvage.net/links/?Utw8FQ
#8
C'est arrivé à plusieurs reprises que nous ayons une discussion sur un sujet, un produit par exemple. Et, alors qu'elle n'a jamais fait de recherche dessus, l'application Facebook s'est ensuite mise à lui afficher des publicités en lien avec notre conversation.
Au début on a cru à une coïncidence. Sauf que cela s'est reproduit plusieurs fois.
Alors quand c'est un produit sur lequel la personne a pu faire des recherches depuis son smarpthone,avec le tracking ça ne me surprend pas.
Mais quand c'est suite à une discussion juste auparavant, et qu'aucune recherche n'avait été faite jusque là... ça interroge pas mal...
#8.1
Mais ça remonte à quelques années et cet article du Brief ne me rassure pas du tout. :/
#8.2
Je suis de nature sceptique mais à un moment on finit forcément par s'interroger 😅
Surtout pour ressortir exactement le sujet de nos conversations. A noter que l'on a constaté la même chose avec des amis, que ça a tout autant surpris. Ça fait beaucoup trop de coïncidences pour que ce ne soit que le hasard.
Par contre on a noté cela qu'avec Facebook.
#8.3
Ma femme par contre n'est pas assez sensibilisée sur ça (c'est pas faute d'essayer lol). C'est possible qu'elle ait donné les accès au microphone sans le savoir.
Je regarderais et je désactiverais les autorisations si besoin. On verra bien si ça change quelque chose.
#8.4
#9
#9.1
Pour qu'un voyant soit fiable, il faudrait le relierau capteur, cela à la conception matérielle.
Note : c'est identique avec un interrupteur, d'ailleurs sur un iPhone récent je crois c'est programmable.
#9.2
Il faudrait que ça soit systématisé sur tous les systèmes
#9.3
#9.4
Il y a longtemps, je mettais un Jack dans la prise micro de mes pc portable, à cette époque, l'insertion déplaçait une patte dans le Jack femelle et coupait le micro (un seul ADC).
Depuis, on est passé en software. La désactivation ou non est gérée par logiciel, donc aucune certitude.
#10
#10.1
#10.2
#10.3
#10.4
#10.5
#11
#12
Auquel cas ça me semble complètement illégal, peu importe l'acceptation des CGU.
Parce que si l'on coupe l'accès au microphone dans les autorisation d'Android, par exemple, ça ne devrait pas fonctionner en tout logique.