Spam vs Phishing – Comment les reconnaître et s’en protéger

par | Avr 24, 2024 | Bien-être numérique

Spam vs Phishing – Comment les reconnaître et s’en protéger

On pense le procédé grossier et poncer jusqu’à l’os et pourtant, chaque année, le spam et le phishing continue de faire des gros dégâts. C’est un fait, malgré certaines précautions, nous sommes constamment bombardés par des messages non-sollicités. Ils peuvent prendre la forme de spam ou de phishing, deux types de cyberattaques qui, bien qu’apparentés, diffèrent tant par leurs objectifs que par leurs méthodes. Comprendre ces différences est essentiel pour se défendre efficacement.

Qu’est-ce que le spam ?

Le spam englobe toute communication numérique non-sollicitée envoyée en masse. Bien qu’il serve souvent à des fins relativement bénignes, comme encombrer votre boîte de réception de publicités indésirables, il peut aussi être utilisé à des fins malveillantes, telles que la propagation de malwares.

Le spam prend plusieurs formes : emails, spams sur les réseaux sociaux, SMS, ou encore les commentaires intempestifs sur des sites web ou des vidéos.

Qu’est-ce que le phishing ?

Le phishing est une forme d’escroquerie en ligne visant à dérober des informations personnelles sensibles, à inciter les victimes à transférer de l’argent, donner certains accès ou à distribuer, malgré eux, des logiciels malveillants. Les tactiques de phishing sont diverses, employant des emails, des messages vocaux ou textuels, voire de fausses lettres. Ces attaques sont souvent très ciblées, utilisant des informations personnelles pour paraître plus crédibles. Elles reposent toutes sur l’ingénierie sociale.

Techniques de phishing et exemples

Les tentatives phishing utilisent souvent l’émotion comme levier, exploitant surtout la peur mais aussi la colère ou la tristesse pour troubler le jugement des victimes. Par exemple, le spear phishing cible des individus ou organisations avec des messages sur mesure, tandis que le whaling s’attaque à des individus de haut rang comme des exécutifs d’entreprise.

Comment fonctionnent le spam et le phishing ?

Tandis que le phishing a évolué pour devenir de plus en plus sophistiqué, le spam a également vu des modifications dans sa forme et ses techniques. Aujourd’hui, des bots et des systèmes automatisés permettent d’envoyer des spams à une échelle sans précédent, et des kits de phishing sont disponibles sur le dark web pour permettre même aux cybercriminels novices de lancer des campagnes de phishing avancées.

Différences entre spam et phishing

Bien que faisant partie des formes de piratages les plus courantes, le spam vise principalement la publicité de produits ou services ou la diffusion de logiciels malveillants, sans cibler spécifiquement les informations personnelles des destinataires. En revanche, le phishing cherche à dérober de l’argent ou des informations sensibles, en ciblant de manière précise pour maximiser ses chances de réussite.

Pour en savoir plus : Malvertising : Quand la publicité devient notre ennemi

Comment repérer et prévenir les menaces de spam et de phishing ?

Soyez vigilant quant à l’expéditeur des messages et méfiez-vous des salutations génériques ainsi que des fautes de frappe ou de grammaire. Soyez particulièrement prudent avec les pièces jointes et les liens, et ignorez les demandes d’informations personnelles venant de sources non sécurisées. L’utilisation de filtres anti-spam et de logiciels de sécurité est cruciale pour une protection efficace. Optez pour des services de boites mails sécurisés pour réduire les risques. Rappelez-vous, les escroqueries en ligne exploitent toujours des erreurs humaines.

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles et réduire votre suivi en ligne. Merci pour votre intérêt et vos nombreux partages !
A propos de l'auteur : Lisa

A propos de l'auteur : Lisa

Fondatrice de VPN Mon Ami

Experte en cybersécurité avec plus de 12 ans d'expérience dans le domaine des VPN, j'écris de nombreux articles pour sensibiliser les internautes à la confidentialité en ligne.

Ingénierie sociale : comprendre et se protéger des manipulations

par | Mar 14, 2024 | Bien-être numérique

Ingénierie sociale : comprendre et se protéger des manipulations

La France se trouve aujourd’hui face à une vague sans précédent de cyberattaques, avec l’ingénierie sociale au premier plan de cette menace numérique. Cette technique de manipulation, qui joue sur les faiblesses humaines pour extorquer des informations ou de l’argent, n’a jamais été aussi pertinente.

Alors que le pays se remet d’une attaque majeure contre l’un de ses services publics essentiels, France travail, la vigilance est de mise. Les cybercriminels, armés de stratégies toujours plus sophistiquées, cherchent à exploiter la moindre faille dans notre armure collective. Dans ce contexte, comprendre les mécanismes de l’ingénierie sociale et les moyens de s’en prémunir est crucial pour la sécurité individuelle et nationale. Cet article se propose de démystifier l’ingénierie sociale, en explorant ses méthodes les plus courantes et en offrant des conseils pratiques pour renforcer notre défense contre ces attaques insidieuses.

L’ingénierie sociale : L’erreur est humaine.

Nous sommes conscient que beaucoup d’entre vous passeront votre chemin au terme de cette introduction s’estimant suffisamment informés pour ne pas se faire avoir par un faux mail, un lien douteux ou une publicité grossière. Nous attirons cependant votre attention sur le fait que dans de nombreux cas, les internautes se retrouvent souvent pris de panique face à certaines sommations et que c’est à ce moment-là qu’une erreur est commise. Par ailleurs, l’utilisation du meilleur VPN, ne vous sera d’aucun secours puisque l’ingénierie sociale s’appuie sur le comportement humain afin d’appeler à une action spécifique.

Le phishing, un cas d’ingénierie sociale courant

Les hackers sont de plus en plus créatifs dans l’élaboration de tactiques pour influencer et tromper des individus dans le but d’obtenir des données sensibles. L’hameçonnage est une des principales méthodes utilisées. Les vecteurs d’attaques sont les SMS, les médias sociaux et plus fréquemment les e-mails.

Le scénario, bien qu’assez connu, est toujours aussi efficace. L’attaquant contacte sa potentielle victime en se faisant passer généralement pour une entreprise dont la légitimité n’est pas à remettre en question (une banque, une compagnie d’électricité …).

Le message est toujours pressant et s’appuie sur des problèmes de sécurité liés au compte, des impayés ou encore des remboursements, s’en suivra toujours une injonction incitant la cible à passer à l’action très rapidement pour éviter des conséquences fâcheuses. En règle générale, l’internaute doit cliquer sur un lien malveillant et devra communiquer des informations confidentielles.
différents style d'ingénierie sociale

Voici comment cela fonctionne généralement :

Le mail initial : Vous recevez un courrier électronique qui semble provenir d’une entreprise légitime avec laquelle vous faites affaire, comme votre banque, un service de streaming comme Netflix, ou un service de courrier électronique comme Google. Le courrier électronique vous informe généralement d’un problème urgent avec votre compte qui nécessite votre attention immédiate.

Le lien : Le courrier électronique contient un lien vers ce qui semble être le site web de l’entreprise. Cependant, si vous regardez attentivement l’URL, vous verrez qu’elle ne correspond pas exactement à l’URL officielle de l’entreprise. Par exemple, au lieu de « www.netflix.com », l’URL pourrait être « www.netflix.billing-problem.com ».

La page de connexion : Lorsque vous cliquez sur le lien, vous êtes dirigé vers une page de connexion qui ressemble exactement à celle de l’entreprise légitime. On vous demandera de vous connecter avec votre nom d’utilisateur et votre mot de passe.

Le vol d’informations : Lorsque vous vous connectez, vos informations de connexion sont enregistrées par le pirate informatique. Ils peuvent alors utiliser ces informations pour accéder à votre compte réel et commettre des fraudes, comme voler de l’argent de votre compte bancaire ou faire des achats en votre nom.

A découvrir : Quels sont les différents types de hackers ?

Les goûts et les couleurs…

En matière d’ingénierie sociale, les arnaques sont conçues en se basant sur des données statistiques visant à coller au plus près avec la réalité des internautes et ratissent très large.

  • La sextorsion consiste à envoyer un mail accompagné d’une demande de rançon. Le courrier indique que la webcam de l’utilisation a été piratée et que les images compromettantes seront envoyées à l’intégralité des contacts de la victime si celle-ci ne paie pas.
  • L’escroquerie aux bons d’achats (coupons) est en général un mail, un sms ou un message sur Whatapp se faisant passer pour une grande marque invitant l’internaute à cliquer sur un lien pour bénéficier de réductions importantes. Une fois sur le faux site, la victime sera invitée à rentrer ses coordonnées pour que l’offre promotionnelle soit validée.
  • Les Amazon day Prime sont également une période propice à la réception de faux mails promotionnels incitant à divulguer les informations personnelles relatives au compte des utilisateurs. D’autres grandes marques sont également régulièrement usurpées, Apple, UPS, FedEx, Microsoft…
  • L’agenda Google peut également servir de vecteur d’attaque. Le pirate s’en servira pour placer des faux événements sur lesquels il faut cliquer, s’inscrire et fournir des données sensibles.

Une question d’échelle

Si pour tromper des particuliers un simple hameçon peut parfois suffire, pour ce qui est des entreprises, un harpon est nécessaire. Le Spread phishing ou spear phishing est une technique d’ingénierie sociale extrêmement ciblée et capable de causer énormément de dégâts à une entreprise.

Un peu plus exigeant en terme de moyens à déployer le Spread phishing nécessite au préalable des recherches approfondies sur l’entreprise qui est visée (en générale des firmes manipulant des données sensibles à travers leur propre système d’information), ses employés et plus particulièrement les nouveaux venus.

En effet, les erreurs les plus courantes liées à la sécurité des données dans les entreprises sont souvent le fruit d’un excès de zèle de la part d’un salarié désireux de bien faire. Inexpérimenté et donc peu familier des différentes interfaces et procédures en vigueur, ils deviennent des cibles de premier choix. Les VPN pour entreprise, même les plus sûrs et pointus techniquement, ne peuvent rien faire contre ça.
Pour les très grosses entreprises et pour des cibles qui occupent des postes stratégiques assez haut placés, le terme utilisé est le whaling, la pêche à la baleine. Cette technique cible spécifiquement les cadres supérieurs et les dirigeants d’entreprise, qui ont souvent accès à des informations particulièrement sensibles.

illustration ingénierie sociale : différentes tailles des cibles potentielles

 

Pour en savoir plus : Un VPN vous protège-t-il vraiment des hackers ?

L’ingénierie sociale : La peur sur tous les systèmes

Parmi les leviers les plus efficaces, la peur est le sentiment qui permet de créer la panique chez les victimes. Il existe d’ailleurs un mode d’attaque exclusivement basée sur celle-ci. Les peurs croissantes liées à la cyber-sécurité sont devenues un terreau particulièrement fertile pour les hackers.

Depuis quelques années des fenêtres contextuelles apparaissent de manière inopinée sur les écrans. Particulièrement intrusives et menaçantes, elles alertent l’internaute sur une faille de sécurité et/ou sur la présence d’un malware dans son système et intime l’ordre de télécharger l’antivirus proposé pour régler le problème. Dans le pire des cas, l’utilisateur aura même à débourser de l’argent pour acquérir un virus qui permettra l’accès aux hackers à toutes les informations sensibles contenues dans l’ordinateur.

D’autres techniques de manipulation entrent dans le champ que couvre le terme d’ingénierie sociale comme le quiproquo, l’usurpation d’identité (pretexting) ou le tailgating (ouvrir une porte à quelqu’un qui aurait oublié sa carte d’accès ou le code secret)

Et si par hasard vous trouvez une clef USB dans un café, remettez là à un serveur ou au gérant. Aussi surréaliste que cela puisse paraître, la clef peut contenir des malwares dissimulés sur des fichiers de musique par exemple, assez peu pratiquée, mais déjà recensée, le Baiting (appâter en anglais) n’existe pas que dans les films.

L’ingénierie sociale, par sa nature même, est indépendante du système d’exploitation que vous utilisez. Que vous soyez sur Windows, Linux ou Mac, vous n’êtes pas à l’abri. Les attaques d’ingénierie sociale visent à exploiter les failles humaines, pas les failles logicielles. Aucun système d’exploitation n’est immunisé contre ces tactiques.

De plus, il est important de noter que l‘idée selon laquelle les Macs sont immunisés contre les virus est un mythe. Bien que les Macs aient été moins ciblés par les logiciels malveillants dans le passé, principalement en raison de leur part de marché plus petite par rapport à Windows, la situation a changé. Avec l’augmentation de la popularité des produits Apple, ils sont devenus une cible de plus en plus attrayante pour les cybercriminels

Pour en savoir plus : Les Macs sont-ils vraiment à l’abri des virus ?

L’ingénierie sociale : En conclusion

Soyez toujours sceptique, et ce, même si le message que vous recevez vous presse ou vous fait peur. Ne paniquez pas et trouvez un moyen de communiquer directement avec vos interlocuteurs s’il s’agit de votre banque par exemple. Vérifiez toujours les liens et les sites sur lesquelles vous vous rendez, bien souvent, certains détails trahissent leur authenticité.

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles et réduire votre suivi en ligne. Merci pour votre intérêt et vos nombreux partages !
A propos de l'auteur : Lisa

A propos de l'auteur : Lisa

Fondatrice de VPN Mon Ami

Experte en cybersécurité avec plus de 12 ans d'expérience dans le domaine des VPN, j'écris de nombreux articles pour sensibiliser les internautes à la confidentialité en ligne.

Ransomware : Comprendre et contrer cette menace

par | Fév 1, 2024 | Bien-être numérique

Ransomware : Comprendre et contrer cette menace

Vous êtes persuadé d’être bien informé que ça ne peut pas vous arriver, qu’on est en 2024 et que les scam grossiers, ça ne trompe personne… Et pourtant si ! Le ransomware continuent de faire des ravages chez les entreprises et les particuliers. Ce type de logiciel malveillant, qui chiffre les données de l’utilisateur et exige une rançon pour leur déchiffrement, continue sa progression.

Qu’est-ce que le Ransomware ?

Le ransomware est un malware qui s’infiltre dans les systèmes informatiques, verrouille les fichiers, dossiers ou disques durs, et demande une rançon, souvent en cryptomonnaie, pour leur libération. Cette tactique d’extorsion numérique peut entraîner la perte définitive de données importantes si la rançon n’est pas payée, bien que le paiement ne garantisse pas toujours la récupération des données.

En 2022, de nombreux hôpitaux en France ont été victimes de cyberattaques, notamment par ransomware. Ces attaques ciblent les établissements de santé en raison de l’importance vitale de leurs services, de la sensibilité des données qu’ils hébergent et de l’effet médiatique potentiel.

Parmi les cas notables, on retrouve l’attaque contre le centre hospitalier de Corbeil-Essonnes, revendiquée par le groupe de hackers Lockbit. Cette attaque a été particulièrement impressionnante et médiatisée, avec un coût total estimé à 2 millions d’euros pour un retour à la normale, soit le double de la rançon demandée par les malfaiteurs. L’établissement a dû recourir à des méthodes manuelles pour enregistrer l’arrivée des patients en raison de la paralysie de ses systèmes informatiques.

A lire également : Quels sont les différents types de hackers ?

Fonctionnement du Ransomware : tout est dans le vecteur d’attaque

Le succès d’une attaque par ransomware repose en grande partie sur son vecteur d’attaque. Typiquement, le ransomware s’introduit dans les systèmes en exploitant des failles de sécurité ou en utilisant des techniques d’Ingénierie sociale, telles que les chevaux de Troie.

Ces derniers se camouflent en fichiers ou programmes apparemment légitimes pour tromper les utilisateurs et les inciter à les télécharger ou à les ouvrir. Une fois que l’utilisateur a été dupé et que le ransomware est activé, il commence à chiffrer les données ciblées. Les fichiers deviennent alors inaccessibles sans la clé de déchiffrement, que seuls les attaquants possèdent. Les victimes se retrouvent confrontées à des demandes de rançon pour récupérer l’accès à leurs données.

Illustration : Ingenierie sociale

Prévention et protection

La prévention est la meilleure défense contre le ransomware. Évitez de télécharger des fichiers douteux, surtout de sources inconnues, et soyez vigilant face aux tentatives de phishing. Utilisez un logiciel antivirus fiable et maintenez vos systèmes à jour pour réduire les risques d’infection.
N’agissez jamais sous l’effet de la peur ou de la pression, même si un mail ou un message vous inquiète.

Sauvegardes et gestion des versions

En cas d’attaque réussie par ransomware, ayez des sauvegardes régulières de vos données. Optez pour des solutions de stockage cloud offrant des fonctionnalités de sauvegarde et de gestion des versions. Ainsi, en cas d’attaque, vous pourrez restaurer vos données à partir d’une version antérieure non-affectée par le ransomware.

Le mot de la fin

Le ransomware est un fléau dans le domaine de la sécurité informatique, mais en adoptant des pratiques de cybersécurité solides et en étant préparé à toute éventualité, il est possible de minimiser les risques et les impacts de ces attaques. Restez informé, vigilant et proactif pour protéger vos données et votre vie numérique.

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles. Merci pour votre soutien et pour vos nombreux partages !

A propos de l'auteur : Lisa

A propos de l'auteur : Lisa

Fondatrice de VPN Mon Ami

Lisa est une experte en cybersécurité avec plus de 10 ans d’expérience dans le domaine des VPN. Lisa écrit de nombreux articles pour sensibiliser les internautes à la confidentialité en ligne.

Ma smartTV m’espionne t’elle ?

par | Déc 19, 2023 | Bien-être numérique

Ma smartTV m’espionne t’elle ?

Est-ce que ma smartTV met ma vie privée en danger ? Avec l’augmentation de la popularité des objets connectés, les entreprises ont la possibilité d’accéder et de traiter les activités privées des utilisateurs. La collecte de données qui est présente sur Internet se propage et envahit les foyers. Les enceintes et les téléviseurs connectées sont parmi les appareils les plus exposés. Comment les télévisions intelligentes peuvent nous espionner et que pouvons-nous faire pour protéger notre intimité ?

Sommaire

Que fait exactement une smartTV ?

Les télévisions intelligentes (smart TV) sont des téléviseurs connectés à Internet qui prennent en charge toute une série d’applications, allant d’Amazon Prime Video à YouTube. En véritable mediacenter, de nombreuses smart TV ont également intégré la reconnaissance vocale et des caméras vidéo pour que vous puissiez donner des commandes vocales à votre téléviseur ou l’utiliser pour le chat vidéo. Les téléviseurs intelligents surveillent ce que vous regardez, tout comme les services de streaming tels que Hulu, Netflix et YouTube, mais ils vont plus loin. Elles utilisent généralement un système appelé reconnaissance automatique de contenu, qui capture une section de pixels sur votre écran toutes les quelques secondes. Il envoie ensuite ces pixels à une tierce partie. Cet appareil peut identifier rapidement tout programme que l’utilisateur a visionné, qu’il s’agisse d’un DVD personnel, d’une émission de télévision en direct ou d’une vidéo YouTube. En plus de ces informations, les téléviseurs intelligents ajoutent la date, l’heure, le canal de l’émission et si cela a été enregistrée ou non. Ces données sont ensuite utilisées, tout comme l’historique en ligne, pour informer les annonceurs pour proposer des annonces plus ciblées. Illustration : personnes qui regardent une smartTV

Des préoccupations concernant la vie privée

Les habitudes d’écoute de la télévision peuvent en révéler presque autant sur vous que votre historique de navigation sur Internet. Les annonceurs peuvent déterminer vos préférences politiques, votre tranche socioprofessionnelle ainsi que votre situation géographique. En France, la CNIL alerte régulièrement.

Illustration : Logo de la CNIL

La manière dont les SmartTV partagent ces données pose un autre problème de protection de la vie privée. Lorsqu’elles vendent l’historique télévisuel à des annonceurs et/ou à des tiers, elles le relient à l’adresse IP du réseau. Grâce à ces listes détaillées, les annonceurs peuvent établir un lien entre l’historique d’écoute de la télévision et l’historique de navigation Internet, ce qui signifie qu’ils ont les yeux sur les Internautes en permanence peu importe le support.

Les dangers des smartTV pour la vie privée

Bien que parfois stipulés dans les conditions d’utilisation, l’archivage et la récupération de certaines informations n’étaient pas clairement formulés. Plusieurs constructeurs ont déjà été pointé du doigts ou ont déjà eu affaire à la justice.

  • Collecte de données cachées

Vizio est l’une de ces entreprises qui n’a jamais informé ses utilisateurs de la collecte de données. Entre 2014 et 2017, elle a vendu des téléviseurs intelligents (et mis à jour d’anciens modèles) qui utilisaient automatiquement l’ACR pour surveiller ce que les utilisateurs regardaient. En 2017, il y avait plus de 11 millions de Vizio Smart TV qui suivaient l’historique de tous les téléspectateurs de leurs clients. Vizio a dû payer une amende de 2,2 millions de dollars.
illustration VyprVPN : pas revente de données des utilisateurs

  • Un micro est toujours à l’écoute

Samsung a intégré des microphones dans certains modèles de téléviseurs intelligents pour permettre aux utilisateurs de changer de chaîne ou d’allumer le téléviseur à l’aide de commandes vocales.

Allumés en permanence, Samsung a été crontraint de publier une clarification, indiquant que la plupart des téléviseurs exigent que les utilisateurs activent le micro avec la télécommande. Les utilisateurs qui possèdent un téléviseur intelligent de la marque avec microphone intégré peuvent maintenant désactiver le système de reconnaissance vocale.

  • Mauvaise protection de la vie privée

Jason Huntley, un consultant en informatique, a fait plusieurs découvertes sur les téléviseurs intelligents de LG et sur la façon dont ils collectent et transmettent les données d’audience de leurs utilisateurs.

Tout d’abord, les télé connectées transmettaient des données même si l’utilisateur désactivait la fonction. Ensuite, la SmartTV scannait toute clé USB insérée et enregistrait tous les noms de fichiers qu’elle trouvait.

Pour finir, l’appareil ne chiffrait pas les données qu’elle transmettait. L’envoi de data en texte clair signifie que toute personne se trouvant entre la SmartTV et les serveurs de LG aurait pu facilement accéder aux données. La firme d’électroménager a depuis mis à jour son logiciel afin que les utilisateurs puissent se désinscrire de cette collecte abusive.

  • Les téléviseurs intelligents et la sécurité

La transmission de données sensibles non-chiffrées n’est qu’une des nombreuses failles de sécurité exploitables. En 2017, des consultants en sécurité ont découvert plus de 40 vulnérabilités de type « zero-day » (inconnues jusqu’alors) dans le système d’exploitation Open Source Tizen de Samsung pour les smart TV.

Illustration :Système d'exploitation Tizen

© Tizen

Sécuriser sa SmartTV

Il n’existe pas beaucoup de solutions actuellement, rester informé, bien choisir son appareil et surtout désactiver toutes les options susceptibles d’être invasives. Pour les personnes qui souhaitent sécuriser un minimum leur appareils connectés, dans ce cas précis, l’installation d’un VPN IPTV sécurisera une partie des données mais ne fera pas tout.

Les télévisions connectées ne sont malheureusement pas les seuls appareils connectés à souffrir du vide juridique actuel, les enceintes connectées font également débat actuellement.

Réflexions finales : L’évolution de la cybersécurité des Smart TVs en 2024

L’année 2023 a vu une augmentation significative des risques associés aux appareils de l’Internet des objets (IoT), et les smart TVs, en tant qu’éléments clés de cet écosystème, ne sont pas épargnées, 2024 ne fera que confirmer cette tendance. La prolifération de ces appareils augmente les chances pour les cybercriminels de lancer des attaques, rendant la vigilance et la mise en place de mesures de sécurité robustes plus importantes que jamais​

L’intelligence artificielle (IA) continue de remodeler le contexte des menaces, avec des cyberattaques de plus en plus sophistiquées. Cette évolution nécessite que les fabricants de smart TVs et les utilisateurs adoptent des stratégies de sécurité avancées pour contrer les menaces potentielles posées par l’IA générative​.

Parallèlement, l’importance d’une authentification forte est encore beaucoup trop sous-estimée. Dans un monde où les violations de données sont monnaie courante, l’utilisation de mots de passe solides et de systèmes d’authentification multi-facteurs est indispensable pour sécuriser nos appareils connectés​

Comprendre les risques et adopter les meilleures pratiques en matière de sécurité est essentiel pour protéger nos smart TVs et nos données personnelles.

Enfin, nous ne devons pas négliger les risques associés aux applications et services tiers utilisés sur nos smart TVs. La sélection d’applications fiables et la compréhension des implications de sécurité des services externes sont des aspects non-négligeables pour garantir la sécurité globale de nos appareils connectés​

En conclusion, rester informé et proactif en matière de cybersécurité est indispensable dans notre monde de plus en plus connecté. Les smart TVs, en tant que fenêtres sur le monde, nécessitent une attention et une protection particulière pour garantir notre sécurité et notre vie privée.

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles et réduire votre suivi en ligne. Merci pour votre intérêt et vos nombreux partages !
A propos de l'auteur : Lisa

A propos de l'auteur : Lisa

Fondatrice de VPN Mon Ami

Experte en cybersécurité avec plus de 12 ans d'expérience dans le domaine des VPN, j'écris de nombreux articles pour sensibiliser les internautes à la confidentialité en ligne.

Enceinte connectée : Quels risques pour la vie privée ?

par | Déc 12, 2023 | Bien-être numérique

Enceinte connectée : Quels risques pour la vie privée ?

À l’approche des fêtes de fin d’année, l’attrait des appareils domestiques intelligents comme les enceintes connectées s’intensifie. Avant d’offrir ces appareils en cadeau, il est important de considérer leurs implications en termes de vie privée. Qu’il s’agisse de Google Nest, Amazon Echo ou Apple HomePod, ces appareils offrent certes de la commodité, mais soulèvent également d’importants enjeux de confidentialité.  En France, la CNIL alerte régulièrement sur ces dispositifs en raison de conditions d’utilisation abusives qui se cachent derrière. Quel danger représente une enceinte connectée ? Cet article explore les risques à connaître avant de placer une de ces enceintes sous votre sapin de Noël.

Alexa, tu m’écoutes ?

La réponse est OUI. C’est évident, les haut-parleurs intelligents sont toujours à l’affût. Les enceintes connectées représentent un nouveau pan de la surveillance des GAFA. Les plus grandes entreprises technologiques du monde ont trouvé un moyen de s’échapper des ordinateurs de bureau et de s’introduire au cœur des foyers. Là ou tout se vit, ou tout se dit. Ce ne sont pas les murs qui ont des oreilles, mais notre équipement.

Les dangers des enceintes connectées : Sommaire

Que font les haut-parleurs intelligents ?

Les smart speakers sont une interface vocale reliée à Internet. L’utilisateur peut demander à son enceinte connectée de jouer une chanson, de rechercher des informations, de dire la météo, de tenir informé des dernières nouvelles ou même, de raconter une histoire du soir aux enfants.

Alors que l’iot (l’Internet des objets) fait déjà partie de nos vies, le haut-parleur intelligent s’impose comme le point névralgique qui contrôle tout.

Chaque enceinte connectée est également dotée d’extensions tierces qui relient le haut-parleur à d’autres applications, comme votre agenda, la météo, Uber ou Netflix. Ces extensions permettent d’appeler un taxi ou de commander une pizza par exemple. Les possibilités sont infinies.

Illustration : Grande marques d'enceintes connectées.

Confidentialité des appareils Google Nest

Google sait qui sont nos amis, ce qui est sur notre agenda, où vous aimez traîner et quels sont les sujets qui nous intéressent le plus. Cependant, cette quantité colossale de données n’est jamais suffisante. Alphabet, la société mère de Google, tire 84 % de ses revenus de la publicité. Elle engrange des milliards de dollars par an en vendant les données personnelles aux annonceurs, qui les compilent ensuite pour cibler les utilisateurs de Google avec une précision toujours plus redoutable. Pour Google, plus de données équivaut à plus de revenus. Le résultat est un haut-parleur connecté à Internet allumé en permanence.

confidentialité du Google Home

Le Google Home rend les recherches sur Internet plus accessibles que jamais, ce qui signifie que ce géant du Net reçoit de plus en plus de données sur son utilisateur. Par ailleurs, la bascule vers Google Nest balaient encore plus de données et les partagent avec encore plus de ses entreprises.

Enceinte connectée : Le cas d’Amazon Echo

Amazon n’est pas aussi dépendant des revenus publicitaires que Google, mais ils veulent tout autant les données pour savoir avec quels produits sont les plus rentables à cibler sur leur plate-forme de vente. Les mêmes préoccupations en matière de protection de la vie privée que pour Google Home sont présentes. Toutes les interactions avec Alexa sont enregistrées, liée au compte utilisateur, et sauvegardée dans une base de données Amazon pour toujours. Amazon a été plus transparent et plus direct sur le potentiel publicitaire d’Alexa, en annonçant qu’ils commenceraient à utiliser Alexa pour diffuser des annonces.

illustration amazon echo : danger enceinte connectée

Récemment, une enceinte Echo Dot a suggéré à une fillette de mettre ses doigts dans une prise électrique, autant dire que l’algorithme a encore besoin d’une sérieuse mise au point.

Confidentialité du HomePod d’Apple

Le HomePod est un microphone connecté à Internet, Apple anonymise toutes les interactions. Ils ne lient pas les questions posées à HomePod au compte Apple de son utilisateur et, au final, Apple supprime toutes les données de ces communications. La firme californienne n’autorise pas non plus les extensions provenant de tiers. Par conséquent, le HomePod est un appareil moins pratique et moins polyvalent, mais il est plus sûr et beaucoup plus privé.

Illustration : HomePod Mini de chez Apple

© Apple Inc.

Le danger des enceintes connectée : Des bases de données exponentielles

Les nouvelles quantités de données que les enceintes reliées à Internet peuvent recueillir sont stupéfiantes. En effet, lorsque les entreprises collectent des paquets massifs de données, celles-ci peuvent faire l’objet de fuites, de piratage ou d’accès par les forces de l’ordre. A titre d’exemple, en 2019, Amazon a été contraint de partager des enregistrements d’Alexa dans le cadre d’une enquête, ce qui n’a été possible que parce qu’Amazon lie toutes les données à un profil d’utilisateur et les conserve pour toujours. La purge des logs n’est pas automatique, c’est à l’utilisateur d’aller sur son compte et de supprimer lui-même ses interactions avec Alexa.

A lire : Quelle est la valeur de nos données ?

Une atteinte à la vie privée

Les entreprises savent que ces dispositifs représentent une escalade considérable dans leur invasion de la sphère privée de leurs utilisateurs, mais leur besoin de récupérer toujours plus d’informations ne s’arrêtera pas aux haut-parleurs intelligents. Meta (anciennement Facebook), une autre entreprise qui a besoin d’une quantité massives de data personnelles dans le but d’alimenter son Metaverse, a travaillé longtemps sur son propre assistant vocal pour finalement s’orienter définitivement vers la réalité virtuelle avec ses casques Oculus.

Vulnérables comme n’importe quelles technologies Bluetooth aux cyberattaques, il a déjà été prouvé qu’il était possible d’installer un malware sur une enceinte Amazon. Celui-ci permettait de récupérer l’intégralité des flux audio. Les appareils connectés sont en passe de devenir une cible de premier choix pour les Black Hat (Hackers malveillants), le vecteur d’attaque le plus utilisé étant le routeur par lequel transitent les paquets de données.

Si les incidents avec les enceintes connectées révèlent plus de l’anecdote et sont teintés d’une certaine forme d’humour ; un perroquet qui active le smart speaker, un personnage South Park à la télévision, des conversations privées enregistrées et envoyées par erreur par mail, l’idée de passer aux commandes vocales pour effectuer un certain nombre de tâches n’a de cesse de convaincre de nouveaux utilisateurs.

Sécurité en ligne : Qui veille sur vos données personnelles en France ?

Enceinte connectée : Peut-on réellement s’y opposer ?

La question du consentement pour une personne qui ne serait pas en possession d’une enceinte, mais se trouvant dans un lieu où un smart speaker est allumé a suscité de nombreux débats aux États Unis.

En effet, si un individu dispose d’un de ces appareils connecté actif, de fait, il a lu et accepté les conditions d’utilisation. Cependant, un vide juridique se crée dès lors que le foyer comporte plusieurs personnes. La question se pose également pour une réception privées en famille et/ou entres amis.

De ces nombreuses discussions, l’idée de faire signer un formulaire de consentement avant d’entrer dans un foyer dit « connecté » avait été émise. Bien que cette initiative fasse sourire tant elle frôle le ridicule, il est utile de préciser qu’actuellement, de nombreuses familles tergiversent déjà sur la confidentialité des données échangées à travers les applications de messagerie instantanée.

dystopie WallE Pixar Animation Studios©

« Essayez le bleu, c’est le nouveau rouge ! »
Wall-E (2008) – ©Walt Disney Pictures – ©Pixar Animation Studios

Bon nombre d’utilisateurs se moquent, à terme, du danger des enceintes connectées et des conséquences. En effet, beaucoup estiment qu’ils n’ont rien à cacher et que la publicité ciblée est un gain de temps et/ou qu’ils disposent d’un bloqueur de publicités. En un sens, et comme les collectes massives de données coûtent énormément en ressources et en énergies, c’est un argument qui se tient. Il est cependant utile de se demander si nos choix individuels ne risquent pas de se retrouver totalement étouffés quand le problème de stockage des informations dans les data center sera réglé.

Alexa m’espionne t’elle ?

par | Oct 20, 2023 | Bien-être numérique

Alexa m’espionne t’elle ?

Depuis son introduction par Amazon en 2014, Alexa est devenue une présence familière dans de nombreux foyers. Mais avec cette familiarité vient une question persistante : Alexa, nous écoute-t-elle en permanence ? Pour répondre à cette question, des spécialistes se sont penchés sur la question.

Une récente étude sur la confidentialité de l’écosystème des haut-parleurs intelligents de la firme, réalisée par l’Université de Washington, l’Université de Californie et l’Université de Northeastern tire la sonnette d’alarme en ce qui concerne le traitement des données personnelles des utilisateurs. Alors que des millions et des millions de personnes dans le monde l’utilisent, il y a de quoi commencer à s’inquiéter. En mai 2023, la firme a été condamnée à une amende de 25 millions de dollars par le FTC.

Le fonctionnement d’Alexa

Alexa, comme d’autres haut-parleurs intelligents tels que Google Nest et Apple HomePod, est conçue pour être toujours à l’écoute, prête à répondre à nos commandes. Ces appareils sont constamment à l’affût du mot-clé. Il suffit de dire Alexa, et l’enceinte connectée est prête à traiter votre demande.

Illustration : echo Pop d'Amazon
Echo Pop – ©2023, Amazon.com Inc.

Pour en savoir plus : Enceinte connectée : Quels risques pour la vie privée ?

Les enregistrements des requêtes sont-ils conservés ?

Oui, ils le sont.
Chaque interaction avec Alexa est enregistrée, liée au compte utilisateur, et conservée dans une base de données Amazon. Ces données sont utilisées pour améliorer les services et, dans certains cas, pour cibler les publicités.

Cette pratique est similaire au suivi de votre historique de navigation internet classique. Votre historique d’achat sur la plate-forme est d’ailleurs conservé.
Toutefois, Alexa est en mesure de fournir bien plus qu’un simple journal de bord lié à nos activités sur internet. Cet assistant offre une image beaucoup plus précise et personnelle de notre vie intime. Des informations impossibles à obtenir avec une liste d’achats en ligne.

D’après l’étude que nous avons mentionnée, les courtiers en données et les annonceurs sont pret à payer beaucoup plus cher pour des données recueillies par Alexa.

Amazon partage de nombreuses données Alexa avec des tiers

L’assistant vocal d’Amazon, Alexa, a connu une croissance exponentielle en termes de fonctionnalités grâce aux Skills. Ces applications étendent ses capacités. Ces compétences sont disponibles sur le Amazon Alexa Skills Store, où les utilisateurs peuvent parcourir et ajouter à leur dispositif Alexa plus de 200 000 compétences développées par des tiers.
Illustration : Skill Alexa

Echo Pop – ©2023, Amazon.com Inc.

Bien que ces compétences aient élargi les horizons et les services que peuvent rendre d’Alexa, elles soulèvent également des préoccupations en matière de confidentialité.
Amazon a établi des directives strictes sur les données que ces compétences tierces peuvent accéder. Par exemple, elles ne sont pas autorisées à collecter des informations hautement sensibles comme votre numéro de sécurité sociale ou vos détails bancaires. De plus, pour accéder à des informations personnelles telles que votre email, numéro de téléphone ou localisation, ces compétences doivent explicitement demander la permission.

Toutefois, un document de recherche de 2022 a mis en lumière que malgré des progrès significatifs en matière de vie privée, il reste encore des failles. En effet, de nombreux développeurs tiers ne respectent pas systématiquement ces règles ou les contournent. De plus, les données, ainsi que d’autres interactions avec Alexa, sont souvent (re)partagées avec d’autres entités tierces, sans surveillance ni contrôle d’Amazon ou de l’utilisateur.

Politique de confidentialité d’Alexa

Depuis son lancement, la politique de confidentialité d’Amazon concernant Alexa a été mise à jour à plusieurs reprises.

Bien qu’Amazon permette aux utilisateurs de supprimer leurs enregistrements, la responsabilité incombe à l’utilisateur de le faire manuellement.

Voici quelques extraits qui proviennent directement de la FAQ concernant Alexa :

Puis-je revoir et supprimer mes enregistrements vocaux Alexa ?

Oui. Vous pouvez consulter les enregistrements vocaux Alexa associés à votre compte Amazon et supprimer les enregistrements vocaux. Vous pouvez également choisir de ne pas enregistrer vos enregistrements vocaux Alexa, et Amazon supprimera automatiquement vos enregistrements vocaux après avoir traité vos demandes.

Que se passe-t-il lorsque je supprime mes enregistrements vocaux Alexa ?

Lorsque vous supprimez les enregistrements vocaux Alexa associés à votre compte, Amazon supprime les enregistrements vocaux que vous avez sélectionnés et les transcriptions textuelles de ces enregistrements du cloud. Si vous choisissez de ne pas enregistrer vos enregistrements vocaux Alexa, les transcriptions textuelles de vos demandes seront conservées pendant 30 jours, après quoi elles seront automatiquement supprimées.

Puis-je choisir de ne pas envoyer mes enregistrements vocaux au cloud ?

Sur les appareils pris en charge, vous pouvez activer « Ne pas envoyer d’enregistrements vocaux », de sorte que l’audio de vos demandes à Alexa sera traité sur l’appareil et non envoyé au cloud.

Pour conclure

Les enceintes connectées brisent une partie du mur qui sépare ce qui se passe chez nous dans l’intimité et ce que nous faisons sur Internet. Les appareils Amazon Alexa sont sans aucun doute des éléments technologiques étonnants qui peuvent apporter un niveau de commodité et de fun dans nos vies qui aurait été du domaine de la science-fiction, il y a seulement quelques années.

Des alternatives plus respectueuses de la vie privée existent, mais elles ne sont pas aussi grand public dans leur utilisation qu’une enceinte Echo équipée d’Alexa. Parmi elles, on peut citer Mycroft qui est un assistant vocal en langage naturel Open Source, mais conçu pour fonctionner sur des appareils basés sur Linux.

Dans l’attente de solutions ou d’une meilleure politique en matière de réglementation, restez informés et prudents quant à la manière dont vous utilisez Alexa. Prenez le temps de régulièrement faire le ménage dans votre historique, installer le moins de skills possibles ou renseignez vous un minimum avant et activez les paramètres de sécurité.

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles et réduire votre suivi en ligne. Merci pour votre intérêt et vos nombreux partages !
A propos de l'auteur : Lisa

A propos de l'auteur : Lisa

Fondatrice de VPN Mon Ami

Experte en cybersécurité avec plus de 12 ans d'expérience dans le domaine des VPN, j'écris de nombreux articles pour sensibiliser les internautes à la confidentialité en ligne.