Données personnelles : votre télévision connectée, un espion dans votre salon

Données personnelles : votre télévision connectée, un espion dans votre salon

En 2012, nous avions déjà écris sur le sujet, en relayant les recherches d'un hacker coréen, SeungJin “Beist” Lee, qui prévenait que surfer sur le web à partir de votre télé connectée (à l'époque, bien souvent Samsung, ou en tout cas sous Android) était "un énorme risque”, comparable à “surfer sur un navigateur web vieux de plusieurs années”. Le piratage d'une "smart TV" étant en fait similaire à celui d’un PC classique - un pirate accédant (via une page web infectée, ou un malware téléchargé sur une app store) au serveur de votre télévision connectée, afin d'accéder à vos documents, de bloquer votre télé, voire de vous espionner via la caméra de votre appareil.

St ans plus tard, plusieurs études révèlent qu'en plus d'être facilement piratables, les smart TV vous exposent aussi à la collecte données personnelles, dans un but publicitaire, exactement comme un smartphone. "Les télés suivent la même voie que celle qui a transformé les applications web et smartphone en fosse stique de surveillance", affirme sans détours Arvind Narayananan, professeur à Princeton, qui a révélé l'affaire sur Twitter.



Pistés comme sur un PC ou un smartphone

La première étude dont le chercheur a fait écho est la sienne, réalisée avec 5 doctorants des universités de Princeton et Chicago. Elle porte sur les box de streaming TV, notamment Roku TV et Amazon Fire TV. Mais c'est probablement aussi le cas de la plupart des boîtiers Android, notamment ceux utilisés par certains petits malins qui passe par l'IPTV pour regarder des chaînes de télé et de la VOD illégalement, ou encore de le Chromecast.

Concrètement, ces box "over the top" (OTT) qui se branchent par le HDMI utilisent une technologie différente (mais proche) de l'IPTV, car elle permet de regarder la télévision par Internet sans passer par des offres fournies par un FAI, ce dernier se bornant à distribuer des paquets IP, sans pouvoir voir ce qui transite sur son réseau. Elles vous permettent en fait d'accéder à "chaînes" en streaming via des applications qui proposent des abonnements payants - par exemple, Molotov, Netflix, Google Play Movies & TV, Apple TV et Amazon Prime Video en Europe, ou Vudu, Hulu et AT&T Now aux USA ; mais aussi les très illégales Volka Pro et Smart IPTV, qui permettent d'accéder à des flux piratés (détournés).


"Comme vous pouvez le deviner, ces chaînes sont chargées de trackers", constate Arvind Narayananan. Exactement comme il le fait sur le Web lorsqu'il collecte et partage des fichiers "cookies" quand vous surfez et cliquez sur des liens, le mouchard publicitaire de Google, Doubleclick, surveillerait ainsi 97,5 % des flux transitant via les applications de streaming TV que l'on peut installer sur les appareils Roku TV (via son "channel store" officiel). Au total, les chercheurs de Princeton et de Chicago ont retrouvé des trackers sur 69 % des flux transitant sur les box Roku TV et sur 89 % de ceux issus des appareils Amazon Fire TV.


Ce qui est collecté 

Mais que collectent ces mouchards, exactement ? Afin de le savoir, les chercheurs ont utilisé un bot, qui a imité le comportement d'un spectateur humain qui utiliserait un appareil de streaming TV : il a installé des centaines d'applis de streaming TV, a visionné des milliers de chaînes, et a ensuite surveillé ce qu'il se passait. Dès qu’une publicité était diffusée sur un flux, le robot observait ainsi quelles données étaient récoltées.

D'abord, les chaînes collectent des infos sur le lieu (la ville et la région) où se trouve l'utilisateur. Ensuite, des données susctibles de permettre de vous pister finement, mais aussi parfois… de vous identifier. "Nous avons constaté que certains flux OTT ont contacté plus de 60 mouchards, et partagé des données avec ces trackers, notamment des titres de vidéos, des noms de réseaux WiFi, des adresses MAC et des numéros de série d'appareils", indique l'étude. Outre des identifiants uniques, des "chaînes" ont aussi, remarquent les chercheurs, "divulgué des adresses e-mail à des trackers". Les titres des vidéos collectés étant, au passage, non cryptés - de sorte que l'historique de visionnage transite en clair sur le réseau.


"Les trackers ont, plus globalement, accès à ce que vous regardez et au temps que vous consacrez à certaines émissions ", explique en outre Hooman Mohajeri Moghaddam, l'un des chercheurs de Princeton qui a travaillé sur l'étude. "En gros, c'est une autre dimension de données qui s'ajoute à votre profil." Verdit d'Arvind Narayananan : "Si vous utilisez un appareil tel que Roku et Amazon Fire TV, il existe de nombreuses entrrises qui peuvent construire une image assez complète de ce que vous regardez". Selon lui, "on sait en fait très peu de choses sur les intentions de ces sociétés et sur leurs pratiques, notamment de potentielles reventes de données".

Google, avec Doubleclick, ainsi que Facebook comptent évidemment parmi ces organisations, mais beaucoup sont peu connues du grand public. Forcément, difficile de ne pas faire le lien entre les prix peu élevés des appareils de streaming TV (entre 35 et 45 euros pour une Roku TV, et à peu près pareil pour une Amazon Fire TV Stick) et un financement issu en partie de la publicité ciblée, et donc de toutes ces applications mouchardes proposées… "Pour des fabricants comme Roku, la publicité a dépassé les ventes d'appareils comme principale source de revenus", observent d'ailleurs les chercheurs dans leur étude. "Il est malheureux que les plates-formes de streaming TV se tournent vers la publicité ciblée comme principal moyen de gagner de l'argent. Pour maximiser leurs revenus, elles se tourneront probablement vers le data mining et la personnalisation/persuasion algorithmique pour garder les gens collés à l'écran le plus longtemps possible", observe Arvind Narayananan.



Des outils de protection inefficaces

Fait amusant (ou pas), note ce dernier, la Roku TV propose une option permettant de "limiter le suivi publicitaire", en bloquant les mouchards. "Mais le fait de l'activer a augmenté le nombre de trackers contactés par les chaînes. L'option a empêché l'envoi d'identifiants uniques persistants (AD ID), mais pas tous", explique-t-il. Idem en utilisant Pi-hole, un logiciel libre qui permet de bloquer les publicités et les trackers en agissant directement au niveau du réseau et de la résolution des DNS (autrement dit, il peut bloquer les requêtes DNS qui partent à votre insu vers des sites publicitaires et autres traqueurs d’activité) : "26,7 % des fuites des fuites d'AD ID, et 44,6 % des fuites de numéros de série ne sont pas détectées par Pi-hole", constatent les chercheurs. Qui concluent que "les outils de protection de la vie privée à disposition actuellement sont inefficaces pour empêcher d'être pisté" via une télévision connectée.

 



Les chaînes vous regardent

Une autre étude, menée par la Northeastern University et l'Imperial College London, arrive à la même conclusion. Cette fois, les chercheurs ont analysé la fuite de données de 81 appareils utilisant l'Internet des objets (IoT), et pas juste des smart TV - car les télévisions connectées ne sont pas les seules à pouvoir être transformées en machines de collecte de données : les caméras intelligentes, les appareils domestiques et les appareils électroménagers connectés aussi.

Selon cette enquête, les 5 télévisions connectées analysées (Roku, Amazon Fire TV, mais aussi LG TV, Apple TV et Samsung TV) "contactent un grand nombre d'entrrises" - dont Google et Netflix. Dans le cas de cette dernière société, les chercheurs indiquent MÊME que "presque tous les appareils de streaming TV testés ont contacté Netflix… même quand nous n'avions pas configuré de compte." Quelles données Netflix reçoit-il, dans ce genre de cas ? "Des informations sur le modèle de télévision utilisé, et l'endroit où elle est utilisée".

Enfin, une seconde étude de l'université de Princeton a été menée sur 45 000 appareils d'IoT, dont un millier de téléviseurs "connectés" via 19 appareils de streaming TV. Les chercheurs ont analysé le trafic réseau de ces machines, et découvert que les smart TV avaient contacté pas moins de 350 régies, annonceurs et trackers publicitaires - les deux principaux étant Google DoubleClick et GoogleSyndication. En outre, 41 % des télévisions connectées ont contacté des trackers qui seraient normalement bloqués par l'outil Firefox Disconnect, dans le cas d'une navigation web via un smartphone ou un PC. Autrement dit, la plupart des appareils de streaming TV sont infestés par les mêmes mouchards que les sites web et les applis que nous utilisons via nos appareils mobiles et nos ordinateurs. La différence étant que cette fois, aucun "bloqueur de pub" ne peut nous aider.

"De meilleurs contrôles en matière de protection de la vie privée seraient certainement utiles, mais ce sont en fin de compte des pansements. Le modèle d'affaires de la publicité ciblée à la télévision est incompatible avec la protection de la vie privée, et nous devons faire face à cette réalité", conclut Arvind Narayananan. Qui ne voit qu'une seule solution pour s'en sortir : "délégitimer" ces pratiques. Avant d'obliger les fabricants de boîtiers de streaming TV à faire une croix sur ce business model ?

Dans un article du Washington Post, un chroniqueur tech, Geoffrey A. Fowler, explique de son côté avoir examiné lui-même les va et vient des données de 4 smart TV (Samsung TV, TCL, Roku, Vizio et LG TV) grâce au logiciel développé par les chercheurs de Princeton ("IoT Inspector), et avoir constaté que ses appareils "envoyaient des rapports toutes les secondes". Selon lui, des entrrises achetant des données collectées par ces télévisions connectées auraient reconnu que celles-ci sont finalement "semblables à Facebook", car leur contenu "peut être mesuré, et les publicités mieux ciblées et plus performantes". Autrement dit, vous pourriez très bien un jour prochain voir des pubs différentes de celles d'un ami en regardant un épisode de Walking Dead via votre smart TV, les annonceurs finissant par connaître vos goûts et votre façon de regarder la télé. Vous avez dit effrayant ?


à lire aussi Amazon Prime Video : les meilleurs films selon vous, CNET et les critiques de presse - mai 2020

Lire l'article sur cnetfrance.fr

Lenovo IdeaPad Duet : prise en main d'un Chromebook au format tablette

Lenovo IdeaPad Duet : prise en main d'un Chromebook au format tablette Cette tablette 10 pouces avec clavier détachable sous Chrome OS est un bon compagnon de travail et de jeu ultraportable.

Tinder internationalise l'accès aux profils

Tinder internationalise l'accès aux profils Une nouvelle fonction « Mode Global » donnera aux membres la possibilité de consulter gratuitement des profils dans d'autres pays.

Honor X10 officiel en Chine : écran 90 Hz, 5G et Kirin 820 pour moins de 300 euros HT

Honor X10 officiel en Chine : écran 90 Hz, 5G et Kirin 820 pour moins de 300 euros HT Honor n'a pas communiqué sur un éventuel lancement en Europe. Il est attendu en Chine le 26 mai.

Netflix, OCS, Disney+, Prime Video : 5 films cultes à voir pour parfaire sa culture cinéma

Netflix, OCS, Disney+, Prime Video : 5 films cultes à voir pour parfaire sa culture cinéma Sur Netflix, Prime Video, Disney+, OCS et les autres, les classiques du cinéma ne manquent pas. Et parce qu'il y a des films à voir absolument dans une vie, la rédaction vous propose cinq valeurs sûres du catalogue des principales plateformes de streaming par abonnement (SVoD).

Forfait et box Internet fibre : le match des meilleures offres du moment

Forfait et box Internet fibre : le match des meilleures offres du moment Face à Bouygues Telecom et à sa box fibre ultra-complète à 24.99 euros, RED by SFR offre de nouveau l'option Débit Plus sur sa box à 23 euros ainsi que les appels illimités. Quel forfait internet choisir ? Fight.

Facebook instaure le télétravail permanent pour les salariés qui le souhaitent

Facebook instaure le télétravail permanent pour les salariés qui le souhaitent Le réseau social rejoint d’autres grandes entreprises de la Silicon Valley, dont Twitter, qui ont décidé d’adopter le télétravail.