Publié dans Société numérique

31

Des smartphones et terminaux trop « à l’écoute » ?

Des smartphones et terminaux trop « à l'écoute » ?

« Qui ne s’est jamais posé la question de la possibilité d’être écouté par l’un de ses appareils suite à l’affichage d’une publicité particulièrement pertinente ? », s'interroge le Laboratoire d'innovation numérique de la CNIL (LINC). La prolifération de terminaux connectés pose en effet la question de qui active leurs micros, collecte et analyse leurs enregistrements.

L'ADN revenait lui aussi récemment sur ce qu'il qualifiait de « théorie pas si complotiste que ça ». Si les témoignages de gens persuadés d'avoir vu s'afficher des publicités après qu'ils aient prononcé un mot particulier sont nombreux, « ces derniers sont bien souvent débunkés ».  Il n'existerait de fait « aucune preuve scientifique tangible à ce jour », écrit LINC, qui évoque notamment le témoignage d'Antonio Garcia-Martinez, un ancien product manager de Facebook :

« Pour y parvenir, Facebook devrait enregistrer tout ce que votre téléphone entend lorsqu'il est allumé. Cela équivaut fonctionnellement à un appel téléphonique permanent entre vous et Facebook. En supposant que vous ayez votre téléphone allumé la moitié de la journée, cela représente environ 130 Mo par jour et par utilisateur. Il y a environ 150 millions d'utilisateurs actifs quotidiens aux États-Unis, ce qui représente environ 20 pétaoctets par jour, rien qu'aux États-Unis. Pour mettre cela en perspective, l'ensemble du stockage de données de Facebook ne représente "que" 300 pétaoctets environ, avec un taux d'ingestion quotidien d'environ 600 téraoctets. En d'autres termes, une surveillance audio constante produirait environ 33 fois plus de données par jour que ce que Facebook consomme actuellement. »

L'ADN relève cela dit que des SDK « sont non seulement capables de recueillir des données très privées, comme les moments ou les utilisateurs de Tinder venaient de conclure avec leur match, mais aussi des données issues du micro du smartphone ». Des chercheurs avaient ainsi découvert en 2018 que, sur 17 000 applications populaires Android, 8 000 recueillaient des données récoltées par Facebook. 

Des « permissions inappropriées et attentatoires à la vie privée (possibilité de prendre des captures d’écran, d’accéder à la caméra, etc.) avec dans certains cas des transmissions vers des acteurs tiers à l’insu des utilisateurs », confirme le LINC. Il fournit par ailleurs plusieurs autres explications rationnelles, rappelant notamment le cas de ce défenseur de la vie privée qui, suite à un séjour chez sa mère, s'était vu proposé la marque de dentifrice utilisé par celle-ci sur son compte Twitter

31

Tiens, en parlant de ça :

La Section 702 de la loi sur la surveillance du renseignement étranger (Foreign Intelligence Surveillance Act – FISA)

Aux USA, la surveillance des communications d’étrangers sans mandat (FISA) fait débat

Aller FISSA au Sénat

15:40 DroitSécu 2
logo apple en devanture de boutique

Apple autorise puis supprime un émulateur Game Boy sur iOS

Quel est ce phoque ?

14:09 Soft 15
Logo d'Android 14

Android 15 bêta : Wallet par défaut, sécurité des réseaux mobiles et Wi-Fi, bugs sur le NFC

Ce n’est PAS une révolution

11:15 Soft 6
Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

31

Fermer

Commentaires (31)


C’est marrant qu’un cadre de Facebook dispose d’un argumentaire tout construit pour répondre à ce type de question, alors que la traduction d’une parole en texte est très simple à réaliser aujourd’hui sur des smartphones surpuissant et qu’alors, on ne se retrouve plus du tout dans les mêmes ordres de grandeur en termes de stockage !


C’est clair. Et envoyer un petit fichier txt de qqes Ko par jour passerait complètement inaperçu.


D’autant plus que toutes les données audio captées n’ont pas d’intérêt à être conservées, une fois les mots-clés identifiés et sauvegardés. Donc son calcul sur le stockage est hors sujet…


Sans compter sur le fait que le téléphone peut directement faire la reconnaissance vocale et finalement n’envoyer que du txt compressé.


Zut, comment fonctionne la reconnaissance vocale dans ce cas ? En envoyant énormément de données aux serveurs ?



Super argument de fb …


Certain smartphone Samsung on un Shazam qui tourne en permanence. Tu poses le téléphone sur la table avec l’écran verrouillé, et t’as le nom de la musique qui s’affiche à coté de l’heure sans rien te demander…
Donc oui, ils sont à l’écoute. Avec un traitement en parti local vraisemblablement.



Faudrait faire l’étude sur les smart TV, je suis persuadé qu’elles écoutent aussi.


Expérience vécu il y a quelques années avec un sujet de conversation n’ayant rien à voir avec mes centres d’intérêts habituels que les smartphone posés sur la table application Facebook ouverte ayant conduit à l’affichage d’une publicité en lien direct avec le sujet de conversation abordé.



La reconnaissance vocale est selon moi utilisée depuis quelques années pour le ciblage publicitaire et comme dit plus haut, ils n’ont pas besoin d’envoyer toutes les capatations sonores mais seulement de faire repérer des mots clefs par le téléphone qui envoi juste le mot clef pour déclencher l’affichage de la pub.



C’est incroyable qu’on laisse faire et qu’on aille pas perquisitionner chez Facebook dans le cadre d’une instruction pour atteinte à la vie privée de plusieurs millions de français.


désolé antonio garcia-martinez!
ce n’est pas parce que votre solution ne marche pas qu’il n’y en a pas d’autres!
par exemple la détection de mots-clés dans la voix écoutée : une marque ou un produit qui a payé une campagne facebook ? très facile! Pas besoins de teras ou de petas de données…


En faite tout ce que vous dites est déjà détaillé dans l’article, prenez deux secondes pour aller le lire….



Comme quoi même dans l’informatique on a des théories du complot.


Les réseaux sociaux comme FB n’ont pas besoin d’écouter vos conversations, ils ont déjà toutes vos informations que vous leurs fournissez explicitement ou implicitement lors de la création d’un compte, de plus pour le ciblage publicitaire, admettons que cela soit techniquement faisable, je ne vois pas vraiment en quoi ça serait rentable, il faudrait analyser des quantités astronomiques de données pour avoir la chance de tomber sur des mots clés pertinents, il faudrait accorder à votre microphone toutes les autorisations, alors qu’il faut toujours imposer des restrictions, ou bien, vous exécutez un logiciel malveillant en arrière-plan sans le savoir, ou c’est votre smartphone lui-même qui est corrompu (comme les Xiaomi, pas du tout fiable côté matérielle), bref sans que cela soit exclu, il n’existe aucune preuve scientifique tangible à ce jour comme écrit dans la bref.



QTrEIX a dit:


il faudrait accorder à votre microphone toutes les autorisations




Voici les autorisations demandées par l’appli Facebook (j’adore les “à l’insu du propriétaire”, “informations confidentielles”, et autres “sans envoyer de notification”):



Micro




  • enregistrer un fichier audio



Photos/Contenus multimédias/Fichiers




  • Lire le contenu de la mémoire de stockage USB

  • Modifier ou supprimer le contenu de la mémoire de stockage USB



Informations relatives à la connexion Wi-Fi




  • afficher les connexions Wi-Fi



ID de l’appareil et informations relatives aux appels




  • voir l’état et l’identité du téléphone



Lieu




  • position précise (GPS et réseau)

  • position approximative (réseau)



Mobile




  • voir l’état et l’identité du téléphone

  • appeler directement des numéros de téléphone



Identité




  • ajouter ou supprimer des comptes

  • voir votre fiche de contact

  • rechercher des comptes sur l’appareil



Contacts




  • voir les contacts

  • modifier les contacts

  • rechercher des comptes sur l’appareil



Stockage




  • Lire le contenu de la mémoire de stockage USB

  • Modifier ou supprimer le contenu de la mémoire de stockage USB

  • Historique de l’appareil et des applications

  • Récupérer les applications en cours d’exécution



Agenda




  • Consulter les événements d’agenda ainsi que les informations confidentielles

  • Ajouter ou modifier des événements d’agenda et envoyer des e-mails aux invités à l’insu du propriétaire



Caméra




  • prendre des photos et filmer des vidéos



Autre




  • télécharger des fichiers sans envoyer de notification

  • recevoir des données depuis Internet

  • Lire les informations relatives à la chaîne ou à l’émission télévisée

  • Modifier les informations relatives à la chaîne ou à l’émission télévisée

  • afficher les connexions réseau

  • activer/désactiver la connexion Wi-Fi

  • modifier la connectivité du réseau

  • lire les statistiques de la batterie

  • accéder aux paramètres Bluetooth

  • lire la configuration des services Google

  • modifier les paramètres du système

  • Se superposer aux autres applis

  • s’exécuter au démarrage

  • lire les paramètres de synchronisation

  • empêcher la mise en veille de l’appareil

  • modifier vos paramètres audio

  • créer des comptes et définir des mots de passe

  • contrôler la communication en champ proche

  • bénéficier d’un accès complet au réseau

  • contrôler le vibreur

  • envoyer une diffusion persistante

  • associer à des appareils Bluetooth

  • activer/désactiver la synchronisation

  • Installer des raccourcis


Lol, possible qu’elle arrive à un seuil où il est plus rapide de lister les autorisation qu’elle n’a pas.
Je n’ai pas vu : déclencher des payements à l’insu du propriétaire, faire exploser la batterie. :mdr:



(reply:1884466:Cumbalero) Effectivement c’est beaucoup, je ne suis pas sur FB et donc je n’utilise pas l’appli, mais ça ne m’étonne pas qu’elle exige autant d’autorisations.



À lire les témoignage ça arrive une fois ou deux à une personne par-ci par-là. J’appelle pas ça de la publicité ciblé mais simplement du pure hasard. C’est sur que quand ça t’arrives tu t’en souviens car les coïncidences sont marquantes.
Ça pourrait très bien être l’inverse, ton regard croise une pub (insignifiante) sans y prêtre attention (comme une image subliminale). Et à un autre moment, ton esprit (inconsciemment) t’amène à évoquer cette chose au détour d’une conversation et là juste après ton téléphone ré-affiche cette pub complètement par hasard, donnant l’impression d’être espionné.



Il n’y a qu’à faire l’expérience, mettre son téléphone sur la table et parler d’un truc choisi au hasard parmi une liste et vérifier si une pub sur le sujet en question s’affiche. Et répéter l’opération des dizaines/centaines de fois parce que c’est pas avec un seul cas qu’on peut affirmer quoique ce soit.


J’ai fait l’essai, et bien à ma grande surprise, ça marche !!!! J’ai parlé de porno, gonzo, BDSM, et du coup FB m’a fermé mon compte !!!!:eeek2:



QTrEIX a dit:


…je ne suis pas sur FB et donc je n’utilise pas l’appli…




C’est tout le problème, difficile pour un connaisseur ou expert en informatique qui a su se couper de la publicité ciblée (du moins de son étape finale : l’affichage) de juger de la question discutée dans cette brève.


Je rectifie une portion de mon post précédent : “qui a su et voulu” car on peut très bien savoir comment faire mais choisir de ne pas (complètement) se couper de la chose pour diverses raisons (nécessité d’avoir un compte insta ou twitter par ex), pourquoi pas pour justement observer le phénomène.



FunnyD a dit:


J’ai fait l’essai, et bien à ma grande surprise, ça marche !!!! J’ai parlé de porno, gonzo, BDSM, et du coup FB m’a fermé mon compte !!!!:eeek2:




Fake, tu n’as pas parlé de médias de gauche avant la fermeture :fumer:
(Semi-blague, vu qu’en ce moment il y a un “”“bug”“” chez eux qui interdit à beaucoup de personnes partageant des infos de pages FB et liens vers des sites catégorisés de gauche de partager du contenu, souvent pendant 24h, parfois plusieurs jours, sans aucune notification, empêchant ainsi de de demander à revoir voire annuler la sanction. Et bizarrement sur les pages/médias catégorisés à droite, aucun pb)


J’ai beau relire, je n’arrive pas à comprendre les conclusions de l’article.



En particulier cette phrase :




Des chercheurs avaient ainsi découvert en 2018 que, sur 17 000 applications populaires Android, 8 000 recueillaient des données récoltées à Facebook.




Les appli envoient des données à Facebook ? Ou s’arrogent des données de facebook ?
Dans un cas comme dans l’autre, pourquoi/comment ?


“Ils avaient découvert que 8 000 d’entre elles envoyaient des données récoltées à Facebook”
La phrase originelle.
Donc applis => FB



Comment ?




  1. Par l’utilisation direct d’API FB qui permet de recueillir et d’envoyer des données à FB.

  2. La revente de données à des grossistes en données qui les revendent à FB.


aureus

“Ils avaient découvert que 8 000 d’entre elles envoyaient des données récoltées à Facebook”
La phrase originelle.
Donc applis => FB



Comment ?




  1. Par l’utilisation direct d’API FB qui permet de recueillir et d’envoyer des données à FB.

  2. La revente de données à des grossistes en données qui les revendent à FB.


Merci !



Il n’existerait de fait « aucune preuve scientifique tangible à ce jour »




C’est justement la preuve que c’est un complot de grande envergure. :ouioui:


Vu l’omniprésence de FB (pub / bouton like sur 90% des sites…) ils n’ont je pense pas besoin d’écouter le micro pour prédire des choses. Ça s’appelle le streaming analysis : tu récupères une tonne de flux de données, et le soft est capable d’analyser des tendances et même d’anticiper des choses simplement en détectant des faisceaux d’indice a priori anodin ou indépendant dans le flux de données. Sachant que flux de données est au sens trés large du big data, ça peut être une analyse textuelle de ce commentaire, une recherche internet, une position, la météo…



Pour l’ex du dentifrice, il est probable que le type ce soit branché sur le wifi de sa mère. L’@ IP est moyen de traçage vieux comme le monde, et il s’est retrouvé associé avec le profile de sa mère qui passe peut-être par Amazon pour acheter son dentifrice ! Autre moyen : la localisation rien ne dit que FB ne fait pas des liens sur les lieux : les gens à cette position aime se produit je le propose à ceux qui y passe.
Bref y’a pas besoin de réfléchir trés longtemps pour trouver des 100aine de scénarios plus probables que l’écoute permanente qui ne serait pas du tout rentable !



Alfred1664 a dit:


Certain smartphone Samsung ont un Shazam qui tourne en permanence. Tu poses le téléphone sur la table avec l’écran verrouillé, et t’as le nom de la musique qui s’affiche à coté de l’heure sans rien te demander…




Attention Shazam est très simple : c’est une sorte de fonction de hash du son pour reconnaitre l’empreinte d’un morceau. Le tout associé à une base de donnée de tous les hash de morceaux. Shazam ne fait pas de reconnaissance poussée : il ne détecte pas une version live, ou une version chantée, ça ne reconnait même pas les notes. Tout ça pour dire que l’algo de Shazam est assez léger pour tourner en local : seul le hash est envoyé sur un WebService qui répond le titre.



La reconnaissance vocale est beaucoup plus complexe demande beaucoup de puissance ou nécessite d’envoyer le son sur un serveur pour le traitement. (Si l’app FB faisait ça la batterie ne tiendrait pas :) )



QTrEIX a dit:


comme les Xiaomi, pas du tout fiable côté matérielle




Tu peux m’en dire davantage à ce sujet ?



fofo9012 a dit:



La reconnaissance vocale est beaucoup plus complexe demande beaucoup de puissance ou nécessite d’envoyer le son sur un serveur pour le traitement.




Il y a 25 ans, on faisait de la reconnaissance vocale sur nos PCs en local uniquement.
Techniquement, un smartphone a largement assez de puissance donc. C’est juste que ça n’arrange pas Google et Amazon de ne pas récupérer tes conversations.


Par puissance je pensais batterie (pas vitesse de CPU), si l’app FB faisait de la reconnaissance vocale permanente ça se verrait sur l’utilisation de la batterie.


tout le paragraphe contenant “Facebook devrait enregistrer tout ce que votre téléphone entend lorsqu’il est allumé” est faux, il suffit de capturer en permanence (d’ouvrir le micro) et d’enregistrer seulement lorsque un mot particulier est prononcé. Pour les utilisateur qui voudrait constater ça sur un analyseur de réseau et les prendre en flag, c’est du coup plus compliqué.



(reply:1884643:Vekin) Je ne dis pas que cela concerne absolument tous les modèles Xiaomi (certains modèles hauts de gammes pourraient être correctes), mais premièrement, Xiaomi n’est pas une entreprise de confiance, elle est connu pour avoir menti à ses clients et pour violation massive de la vie privée, la puce de sécurité des Xiaomi, que ce soit sur les anciens et nouveaux modèles, est inconnu, en fait rien n’indique que les Xiaomi en utilisent une, ce qui suppose quelque chose de louche ou des normes de sécurité bâclés, rien n’indique non plus que les Xiaomi utilisent le démarrage vérifiés, des atténuations d’exploitation moderne et un IOMMU strictes pour isoler les composants physiques, un IOMMU robuste garanti que l’attaquant n’aura pas un accès complet à la mémoire, en bref, quand tu regardes les modèles Xiaomi, la sécurité n’est jamais mise en avant, on en parle pas, hors c’est indispensable pour avoir du matérielle fiable.




Parlons maintenant de Android, par défaut, Android a un modèle de sécurité solide, intègre des politiques SELinux (Security-Enhanced Linux), un sandboxing fort, des atténuations d’exploits modernes, le démarrage vérifié, un langage sécurisé pour la mémoire comme Kotlin et plus encore, seulement, bien que basé sur Android, les modèles Xiaomi tournent sur le noyau propriétaire MIU, un système d’exploitation cassé et remplis de trackers malveillants, j’avais un Xiaomi donc je connais.



Sous Android, les Google Pixels (je ne fais pas de la pubs) intègrent toutes les normes modernes en sécurité de manière efficaces, ce n’est pas forcément le cas pour les autres constructeurs (la meilleur alternative est de prendre un iPhone récent), le plus chez Google Pixels est qu’il permet d’installer GrapheneOS, une ROM open-source particulièrement orientée sur la sécurité et la protection de la vie privée, mais même en restant avec la ROM stock (une ROM Android modifié par Google), les Google Pixels n’intègrent que les trackers de Google tandis que les autres marques (comme Samsung) peuvent utiliser d’autres trackers comme ceux de Facebook, de Amazon, en plus de ceux de Google et leurs propres trackers, ce qui paradoxalement (si on regarde le business model de Google) rends les Google Pixels plus privées que n’importe quelles autres marques sous Android, cela dit, rien n’empêche l’utilisateur de compromettre la sécurité et d’installer lui-même des applications invasives.



PS : Je ne m’exprime pas sur Huawei parce que je ne connais pas, mais j’aurais tendance à dire que c’est similaire.


De toute manière il ne faut pas rêver, les groupes publicitaires ont mis au point des méthodes de traçage extrêmement innovantes, permettant même de doubler ceux qui cherchent à y échapper, et ont démontré qu’ils ne reculent devant rien pour recueillir la moindre de tes données. Alors imaginer qu’ils ne vont pas chercher à récupérer/analyser au moins les conversations d’appels sinon les échanges micro si c’est économiquement envisageable pour eux, ça tient de la naïveté de bisounours.



Finalement la question à laquelle il faut répondre pour savoir si ils le font ou non est juste de savoir si ils ont trouvé le moyen technique pour que le rapport bénéfice/investissement financier soit positif pour eux.


Mon avis personnel sur la question, il y a eu une accélération ou une activation du procédé vers 20202021. Les coïncidences de pubs hyper ciblées à certaines conversations notamment téléphoniques (téléphone ou whatsapp même combat) se sont démultipliées.



Un exemple récent datant d’il y a une semaine seulement, une amie m’appelle sur whatsapp, on discute et elle me dit qu’elle a prévu des vacances. Au fil de la conversation on s’est mis à parler de l’arrosage de ces plantes auquel elle n’avait pas pensé (donc pas de recherche du moindre procédé d’arrosage avant). Je lui propose de passer chez elle les arroser, elle est ok : problème réglé. On raccroche, quelques minutes après je regarde mon fil instagram et première ou deuxième du fil d’actu, une pub pour un système d’arrosage de plantes en pots alors que je ne reçois d’habitude même pas de pub liées aux plantes. Et là c’était spécifique à un système d’arrosage



ça ne se produirait qu’une fois je ne dis pas mais la multiplicité de ce genre de “coïncidences” m’interpelle. Après pour beaucoup, on ne peut pas déterminer s’il ne s’agit pas de la technique de géolocalisation ou des contacts décrits dans l’article de la CNIL (tu reçois les pubs des gens avec lesquels tu as eu la même géolocalisation ou été en contact tel) et que je connaissais. A mon avis bien plus économique pour les groupes publicitaires. Enfin dans certains cas comme l’exemple que j’ai cité c’est difficile de l’envisager.



Comme je le disais dans le post au dessus, si ils ont trouvé un moyen technique économique de le faire, ils ne vont pas se priver, et ne venez pas me parler de raison éthique je vais rigoler vu leur passif en matière de collecte de données. Quand aux études elles datent, il faut les refaire régulièrement. Je pense qu’il n’y avait effectivement que pas ou peu de problèmes de relevés micro jusqu’en 20192020 et était le premier à critiquer ceux qui pensait qu’il y en avait.