Vrai-Faux – Est-ce que mon smartphone m’espionne ?

Portables, ordinateurs, montres : nous sommes entourés d’objets connectés avec lesquels nous effectuons quotidiennement des dizaines de tâches différentes. Quelles sont les traces que nous laissons dans le sillage de nos activités numériques ?

Temps de lecture : 10 min

à propos du contributeur

chut
Chut! Magazine

Trimestriel papier et en ligne qui explore l'impact du numérique sur nos vies.

1 Mon portable m’écoute en permanence

C’est plus compliqué

Il faut distinguer écoute et espionnage !

À l'été 2023, les députés ont approuvé la possibilité d’activer à distance les smartphones pour écouter et filmer des individus visés par des enquêtes pour terrorisme ou criminalité organisée. Si cette disposition du projet de loi de programmation pour la justice illustre la faisabilité technique de l’espionnage via le microphone de notre smartphone, elle ne doit pas nous faire tomber dans la paranoïa.

Selon Corinne Hénin, experte en cybersécurité auprès de la cour d’Appel de Montpellier, croire que nous sommes tous susceptibles d’être espionnés à travers nos portables relève du « fantasme » car une telle opération « requiert des moyens considérables » : « Pour pouvoir activer un micro à distance, il faut soit installer un logiciel, et donc y avoir accès physiquement, soit pirater le smartphone en profitant d’un bug dans son logiciel entre deux mises à jour, ce qui représente une fenêtre d’attaque assez courte. » Sauf si vous êtes un criminel patenté, il y a donc peu de chance que votre portable soit utilisé comme cheval de Troie pour vous espionner.

Toutefois, il vous est sûrement déjà arrivé de discuter d’un sujet très spécifique, votre smartphone posé à côté de vous, et de recevoir dans les jours qui suivent une publicité ciblée en lien avec cette discussion. Comment l’expliquer ? « Dès lors qu’on donne l’autorisation à une application d’accéder au micro de notre smartphone et que celle-ci est active, l’enregistrement du son ambiant est techniquement possible », explique Corinne Hénin. Il peut s’agir de toutes les applications qui permettent de passer des appels vocaux, comme les messageries instantanées, mais également de toutes celles qui spécifient dans leurs conditions générales utiliser les données des utilisateurs et utilisatrices à des fins commerciales.

En fait, les assistants vocaux, dont sont équipés les smartphones et d’autres objets connectés, sont particulièrement sous le feu des critiques. Programmés pour se déclencher lorsque certains mots-clefs sont prononcés, ils sont par définition toujours en train d’écouter. Dans son livre blanc « À votre écoute », la CNIL (Commission Nationale de l’informatique et des libertés) rappelle que « ce n’est que lorsque le mot-clé a été reconnu que les enregistrements audio sont traités pour interprétation et exécution de la commande, ce qui se traduit dans de nombreux cas par un envoi à des serveurs distants via Internet. »

Toutefois, des expérimentations menées par le Laboratoire d’innovation numérique de la CNIL et par des universités anglaise et américaine confirment que même lorsqu’ « aucun ordre spécifiquement destiné à l’assistant n’a été formulé, de nombreuses activations ont été enregistrées et sont visibles dans l’historique d’utilisation ».

2 Les données que nous générons sont utilisées pour nous profiler

Vrai

Selon Jean-Jacques Latour, directeur de l’expertise en cybersécurité de la plateforme cybermalveillance.gouv.fr, toutes les applications qui utilisent notre micro peuvent également générer de la publicité ciblée à partir d’une écoute de mot-clef. Le hic, c’est que cela est « dur à documenter » car « on rentre dans la boîte noire de ces éditeurs qui, pour se couvrir par rapport à la loi, écrivent dans leurs conditions générales utiliser les données à des fins marketing » sans forcément spécifier comment.

Nom, adresse, localisation...toutes les informations personnelles nous concernant intéressent les plateformes car leur modèle économique en dépend. C’est le fameux « si c’est gratuit, c’est vous le produit ». En effet, elles revendent nos données personnelles à des entreprises tiers. Et plus ces données personnelles sont précises, plus elles ont de la valeur car elles permettent d’affiner le ciblage publicitaire.

« Tous les usages que l’on va faire de notre téléphone mobile ou de notre ordinateur peuvent être captés à des fins marketing, confirme Jean-Jacques Latour. Le profilage est utilisé pour pouvoir déterminer vos domaines d’intérêts afin de vous envoyer la publicité à laquelle vous êtes le plus susceptible de céder. »

3 Mon frigo et ma brosse à dent connectés peuvent être piratés.

Vrai

L’Internet des objets (IoT en anglais pour « Internet of Things ») désigne la mise en réseau d’objets du monde physique. Que ce soit dans la domotique (techniques utilisées pour rendre les bâtiments « intelligents »), l’industrie ou les transports, les appareils connectés à Internet sont en plein boom. De 38,6 milliards en 2025 leur nombre pourrait grimper à 50 milliards d’ici 2030, engendrant au passage une hausse de l’empreinte environnementale du numérique.

L’avantage de l’IoT consiste à collecter des données en temps réel. Certains fabricants équipent donc leurs machines à laver, brosses à dent, et autres réfrigérateurs d’une adresse IP par laquelle ces équipements fournissent des informations aux consommateurs via une application. Souvent moins sécurisées que celles d’un ordinateur ou d’un smartphone, ces adresses IP sont particulièrement vulnérables aux attaques cyber.

Pour les hackers, ces faiblesses sont des points d’entrée qu’ils peuvent exploiter pour mener des attaques. Le site spécialisé Cyberscoop a par exemple révélé qu’un bug dans le logiciel de certains modèles de machines à laver particulièrement utilisées dans les hôpitaux peut servir de brèche d’entrée pour accéder à d’autres objets connectés au même réseau.

Aux États-Unis la menace est prise très au sérieux. Le gouvernement américain a annoncé le lancement prochain du Cyber Trust Mark, un label certifiant que les fabricants d’objets connectés respectent les standards sur la protection des données, les mises à jour logicielles et les mots de passe par défaut, pour mieux protéger les consommateurs. En Europe, le nouveau règlement sur la cyber résilience, qui entrera en vigueur en 2024, imposera également aux constructeurs, développeurs et distributeurs plus de transparence sur les vulnérabilités matérielles et logicielles.

4 Il n’y a que les hackers qui espionnent notre vie privée

Faux

La cybersurveillance est l’une des formes de cyberviolence les plus répandues chez les couples. Une étude menée par le centre Hubertine Auclert en 2018 révèle que 21 % des femmes victimes de violences conjugales déclarent avoir été espionnées par un logiciel espion installé sur leur portable par leur conjoint.

Mais la cybersurveillance, dont se disent victimes six femmes victimes de violences conjugales sur dix, ne se résume pas qu’aux stalkerware. Comme le rappelle Corinne Hénin, il suffit de se procurer physiquement un smartphone et de le déverrouiller pour le configurer à sa guise : « J’ai reçu beaucoup d’appel de femmes dont le mari avait pris le téléphone et modifié les paramètres de Google Maps pour pouvoir la géolocaliser en permanence ou bien ceux de sa boîte mail pour recevoir une copie de son courrier électronique ». Ces agissements sont punis par deux ans d’emprisonnement et 60 000 euros d’amende.

Dans un registre éducatif, selon une étude menée par l’Unaf et l’Observatoire de la parentalité et de l’Éducation numérique, 41 % des parents ont déjà utilisé un logiciel d’espionnage pour surveiller l’activité numérique de leur enfant. Parmi eux, seuls 30 % le font avec l’accord de leur progéniture, preuve que les inquiétudes parentales sont encore loin de faire l’objet de discussions apaisées au sein de la famille.

5 Nous laissons de multiples traces en naviguant sur Internet

Vrai

« Internet n’oublie rien : quand nous postons quelque chose en ligne nous n’en sommes plus maîtres », avertit Corinne Hénin. D’une part parce que même si le site supprime le document comme nous lui demandons, nous ne sommes pas à l’abri qu’un autre internaute l’ait enregistré et conservé sur une autre machine. D’autre part, lorsque nous allons sur Internet, nous laissons tout un tas de traces. Les plus fréquentes sont les cookies, des données que les sites laissent sur notre disque dur à chaque fois que nous nous y connectons, et le cache de navigation, qui mémorise des parties d’une page web, notamment ses images, pour les aider à s’ouvrir plus rapidement lors d’une prochaine visite.

Contrairement à la navigation standard, la navigation privée n’enregistre pas les cookies, les mots de passe ou l’historique web. Cela permet notamment d’éviter l’apparition de publicité ciblée lors d’une prochaine navigation. Mais si cette fonctionnalité présente sur les navigateurs web garantit plus de confidentialité, elle ne permet pas pour autant d’atteindre l’anonymat. Le fournisseur d’accès Internet, le site visité ou bien l’administrateur du réseau auquel on est connecté (lieu de travail, d’étude, etc.) ont, en effet, toujours accès aux traces laissées lors de la navigation.

6 L’utilisation d’un VPN permet d’être anonyme

Oui, mais…

La vocation d’un VPN, ou réseau privé virtuel, est d’agir comme un intermédiaire entre l’utilisateur ou utilisatrice et Internet. Pour cela, un VPN va masquer l’adresse IP de votre appareil, pour vous rendre virtuellement intraçable par un tiers. « Utiliser un VPN c’est comme emprunter un tunnel : on est caché mais si quelqu’un découvre le point de sortie alors il connaîtra aussi le point d’entrée », nuance Corinne Hénin. Tout dépend donc du genre d’activité auxquelles on se livre lorsqu’on utilise un VPN.

« La question est : pourquoi je veux protéger mon anonymat ? Si c’est pour commettre des cyberviolences, la police peut requérir une levée de l’anonymat au fournisseur de votre VPN », complète Jean-Jacques Latour.

Une exception permet toutefois de nuancer l’affirmation. En avril dernier, la police suédoise est sortie bredouille de la perquisition du bureau de Mullvald VPN. Les policiers, qui enquêtaient sur une affaire de ransomwares, se sont heurtés à la politique de non-enregistrement des données utilisateur de la société, dont la réputation d’efficacité en matière de protection de la vie privée s’est trouvée renforcée.

7 Avec l’essor des IA génératives, il va falloir se méfier davantage des contenus publiés

Vrai

Fruit des recherches en machine learning, les intelligences artificielles génératives connaissent un essor sans précédent depuis la sortie d’applications à destination du grand public comme ChatGPT ou Midjourney. Grâce à ces outils, il est possible de créer du contenu textuel, visuel ou audio à la demande.

« Comme toute révolution technologique, il y aura du bon comme du moins bon, avance Jean-Jacques Latour. Il n’y a pas de raison que les cybercriminels n’essaient pas d’en tirer profit. Ils pourraient utiliser l’intelligence artificielle pour contrer les mécanismes de protection ou bien réaliser des campagnes de phishing dans toutes les langues, sans avoir besoin de passer par un traducteur. »

Quelques deepfakes ont d’ores et déjà défrayé la chronique. Aux États-Unis, des kidnappeurs ont cloné la voix d’un enfant à partir de données glanées sur Internet puis ont utilisé ce deepfake pour appeler ses parents et exiger une rançon en leur faisant croire à un enlèvement. Sur le terrain de la désinformation, les deepfakes sont très utilisés, notamment en temps de guerre. En mars 2022, une fausse vidéo du président ukrainien Volodymyr Zelensky annonçant la capitulation de l’Ukraine face à la Russie avait par exemple été diffusée par une chaîne d’information piratée.

Alors, que faire ? « Même si des intelligences artificielles sont développées pour détecter ces faux contenus, nous allons devoir apprendre par nous-mêmes à vérifier leur authenticité et développer notre sens critique », résume Jean-Jacques Latour.

Nous avons aussi séléctionné pour vous

Thématiques associées : Loisirs

Article suivant