Discussion :

[Stéphane le calme]

Le FBI tire la sonnette d'alarme sur les risques de sécurité auxquels peuvent faire face les téléviseurs connectés
et prodigue quelques conseils

Vous avez sans doute vu défiler des annonces du Black Friday vous invitant à acheter des produits de toute sorte. Si vous vous êtes résolu à acheter une (nouvelle) smart TV, le FBI voudrait que vous sachiez un certain nombre de choses.

Les smart TV ressemblent aux téléviseurs ordinaires, mais disposent de la possibilité de se connecter à Internet. Plusieurs vont se tourner vers la télévision connectée pour avoir accès à des services de streaming comme Netflix, Hulu, Amazon Prime Video et d’autres. Mais, comme tout ce qui se connecte à Internet, les vulnérabilités des smart TV sont donc ouvertes aux hackers. De plus, de nombreuses smart TV sont équipées d'une caméra et d'un microphone. Pourtant, comme pour la plupart des autres appareils connectés à Internet, les fabricants ne mettent souvent pas la sécurité en priorité.

C’est l'un des points sur lesquels le bureau du FBI à Portland a publié un avertissement sur son site Web.

« Un certain nombre de téléviseurs récents ont également des caméras intégrées. Dans certains cas, les caméras sont utilisées pour la reconnaissance faciale afin que le téléviseur sache qui est en train de regarder les programmes pour adapter le contenu et réaliser des propositions. Certains de ses appareils permettent également de réaliser des appels vidéo.

« Outre le risque que votre fabricant de télévision et les développeurs d'applications vous écoutent et vous regardent, la télévision peut également être une passerelle pour que les pirates pénètrent dans votre maison. Un cyberacteur malveillant peut ne pas être en mesure d'accéder directement à votre ordinateur verrouillé, mais il est possible que votre téléviseur non sécurisé lui permette d'accéder facilement à la porte dérobée via votre routeur.

« Les pirates peuvent également prendre le contrôle de votre téléviseur non sécurisé. Au bas du spectre des risques, ils peuvent changer de chaîne, jouer avec le volume et montrer à vos enfants des vidéos inappropriées. Dans le pire des cas, ils peuvent allumer la caméra et le microphone de votre téléviseur et vous espionner ».

Les attaques actives et les exploits contre les téléviseurs connectés sont rares, mais pas inconnus. Étant donné que chaque téléviseur intelligent connecté est livré avec le logiciel de son fabricant et est à la merci de son programme de correctifs de sécurité irrégulier et souvent peu fiable, certains appareils sont plus vulnérables que d’autres. Plus tôt cette année, des hackers ont montré qu’il était possible de détourner la Google Chromecast et de diffuser des vidéos au hasard à des milliers de victimes.

En fait, certains des plus grands exploits ciblant les télévisions connectées de ces dernières années ont été développés par la CIA, mais ont été volés. Les fichiers ont ensuite été publiés en ligne par WikiLeaks.

Cependant, même si l’avertissement du FBI répond à de véritables craintes, l’un des problèmes les plus importants qui devraient en susciter autant, sinon davantage, est le nombre de données de suivi collectées sur les propriétaires de téléviseurs intelligents.

Le Washington Post, plus tôt cette année, a constaté que certains des fabricants de téléviseurs intelligents les plus populaires, y compris Samsung et LG, collectent des tonnes d'informations sur ce que les utilisateurs regardent afin d'aider les annonceurs à mieux cibler leurs publicités et à suggérer des contenus à suivre, par exemple. Le problème de la retransmission télévisée est devenu si problématique il y a quelques années que le fabricant de téléviseurs intelligents Vizio a dû payer une amende de 2,2 millions de dollars après avoir été surpris en train de collecter secrètement les données de visionnage. Plus tôt cette année, un recours collectif séparé lié à la poursuite de Vizio a été autorisé malgré la demande de l'entreprise.

Les téléviseurs et la technologie occupent une place importante dans nos vies et ne sont pas près de disparaître. Aussi, le FBI a fait une série de recommandations pour vous aider à mieux protéger votre famille :

• Sachez exactement quelles sont les fonctionnalités de votre téléviseur et comment les contrôler. Effectuez une recherche Internet de base avec votre numéro de modèle et les mots « microphone », « caméra » et « confidentialité ».
• Ne dépendez pas des paramètres de sécurité par défaut. Modifiez les mots de passe si vous le pouvez. Sachez, si possible, désactiver les microphones, les appareils photo et la collecte des informations personnelles. Si vous ne pouvez pas les désactiver, déterminez si vous êtes prêt à prendre le risque d’acheter ce modèle ou d’utiliser ce service.
• Si vous ne pouvez pas éteindre une caméra, mais souhaitez le faire, un simple morceau de ruban noir sur l’œil de la caméra est une option de retour aux sources.
• Vérifiez la capacité du fabricant à mettre à jour votre appareil avec des correctifs de sécurité. Peuvent-ils le faire ? L'ont-ils fait dans le passé ?
• Vérifiez la politique de confidentialité du fabricant de téléviseurs et les services de streaming que vous utilisez. Confirmez quelles données ils collectent, comment ils les stockent et ce qu’ils en font.

Source : FBI

Et vous ?

Disposez-vous d'une télévision connectée à Internet ?
Sinon, avez-vous l'intention d'en acheter une ?
Quels sont les critères sur lesquels vous pouvez vous baser pour choisir tel modèle plutôt que tel autre ?
Que pensez-vous des recommandations du FBI ?
Votre smart TV dispose-t-elle d'une caméra, d'un microphone ?
Mettez-vous souvent le firmware de l'appareil à jour ?

Voir aussi :

Attention aux informations que vos télévisions connectées peuvent stocker ! Un possesseur d'une smart TV exprime ses inquiétudes
WikiLeaks : comment la CIA aurait piraté les smart TV de Samsung pour les transformer en dispositifs d'écoute des conversations privées
Les smart TV envahissent la vie privée ; les politiques de confidentialité des fabricants devraient faire l'objet d'enquêtes, d'après des sénateurs US
Le ransomware Flocker s'attaque désormais aux Smart TV tournant sur Android OS. Comment vous en débarrasser si vous en êtes victimes ?

[Invité]

Disposez-vous d'une télévision connectée à Internet ?

Je n'ai jamais acheté de télévision de ma vie.

Si non, avez-vous l'intention d'en acheter une ?

Jamais.

Que pensez-vous des recommandations du FBI ?

Que pisser dans un violon revient au même.

[CaptainDangeax]

J'ai acheté très récemment un téléviseur Sharp qui offre des fonctionnalités de télévision connectée, avec netflix et youtube entre autres. Netflix, je n'ai pas d'abonnement. Youtube, j'aime mieux mon clavier AZERTY d'ordinateur pour rechercher les vidéos qui m'intéressent que les bêtes boutons de la télécommande... Donc ma télé connectée n'est pas connectée, tout simplement.

[Ryu2000]

Ça rappelle une déclaration de 2016 :
Samsung invite les utilisateurs de ses télévisions intelligentes à réfléchir à deux fois avant de tenir des conversations privées devant elles
Aujourd'hui c'est pire parce qu'en plus d'être connecté à internet et d'être équipé d'un un micro, il y a une caméra.

Tout appareil connecté à internet disposant d'un micro ou d'une caméra est susceptible de vous surveiller (votre smartphone en priorité, mais même votre pc portable, il y a eu des histoires de webcam hacké par exemple).
Aujourd'hui il y a de plus en plus d'appareils connecté à internet disposant d'un micro.
Un micro caché dans Monsieur Cuisine Connect, le robot cuiseur connecté vendu par Lidl

[eldran64]

J'ai eu plusieurs TV et je continuerai d'en avoir.

Je les connecte toujours au web, je ne fais jamais de mise à jour car c'est chiant mais ça ne m'empêche pas de me balader à poil devant...

Bon plus sérieusement, j'ai des TV connecté et je refuse par défaut les commandes vocales (pas visuelle vu que je n'ai pas de webcam). En cas de crainte il me suffira de débrancher le câble Ethernet de ma TV ou de la déconnecté du Wi-Fi et basta.

Pour moi l'intérêt quelle soit connectée réside dans les patchs et correctifs pour améliorer l'image. Pour les sources, je branche un PC en hdmi et c'est fini.

[sami_c]

C'est le FBI qui lance cette alerte ??? Mais ça les arrange bien non ? FBI, NSA & co adorent ce genre de risque de sécurité !

[Patrick Ruiz]

« Les téléviseurs intelligents sont comme des chevaux de Troie dans les domiciles des gens », d’après un rapport du CDD
Qui attire à nouveau l’attention sur les responsabilités des utilisateurs

Un récent rapport du Center for Digital Democracy (CDD) fait état de ce que les entreprises de l'industrie du streaming, notamment les fabricants de téléviseurs intelligents ainsi que les fournisseurs de services de streaming, ont mis au point un système de surveillance qui met à mal la vie privée et la sécurité des consommateurs. Le rapport qui est cohérent avec de précédents selon lesquels des sociétés de marketing utilisent ces appareils connectés pour du ciblage publicitaire ne devrait plus surprendre. Il relance plutôt un débat sur nos responsabilités en tant qu’utilisateurs des différents produits et services à l’heure du « tout connecté. »

Le rapport de 48 pages, intitulé « How TV Watches Us : Commercial Surveillance in the Streaming Era [PDF], cite diverses sources dont des articles de blog et des déclarations de grands acteurs du streaming, d'Amazon à NBCUniversal et Tubi, en passant par LG, Samsung et Vizio. Il fournit un aperçu détaillé des différentes façons dont les services et le matériel de diffusion en continu ciblent les téléspectateurs d'une manière qui, selon le CDD, pose de graves problèmes de protection de la vie privée.

« La croissance et l'expansion des services de diffusion en continu ont créé une industrie télévisuelle capable d'offrir une panoplie de contenus, avec des centaines de chaînes de niche différentes qui s'adressent à tous les de tous les segments d'audience possibles. Avec un téléviseur, il est possible de trouver presque tous les types de programmes que l'on recherche et ces derniers sont accessibles 24 heures sur 24, 7 jours sur 7. Alors que la télévision continue de fusionner avec l'industrie de la vente au détail, le téléviseur devient un élément essentiel de la vie quotidienne. Selon les données les plus récentes, les consommateurs américains adoptent la télévision connectée d'aujourd'hui avec beaucoup d'enthousiasme, et il est probable qu'elle devienne encore plus populaire dans les années à venir, en occupant une place centrale dans la vie culturelle et commerciale des Américains.

Mais tous les plaisirs et les commodités qu'offre ce nouveau média ont un prix élevé. Et cela va au-delà des tarifs mensuels croissants que les consommateurs doivent consentir pour accéder à bon nombre de ces services de diffusion en continu, ou la gêne occasionnée par les interruptions publicitaires dans certains de leurs programmes préférés. Les développements technologiques et commerciaux qui ont eu lieu au cours des cinq dernières années ont créé un système de marketing et de médias télévisuels connecté, doté de capacités de surveillance et de manipulation sans précédent.

Si la dernière génération de téléviseurs n'a pas l'air très différente de ce qu'elle était auparavant, les opérations qui se déroulent derrière l'écran ont une portée, une intrusion et une influence bien plus grandes que tout ce qui existait auparavant. En regardant leurs films, séries télévisées et événements sportifs préférés, les téléspectateurs ignorent en grande partie l'infrastructure complexe et croissante des technologies d'identification, de suivi, de personnalisation et de ciblage que nous avons décrites dans les pages précédentes », lit-on dans le rapport.

Même le FBI a attiré l’attention des consommateurs sur ses aspects par le passé

« Un certain nombre de téléviseurs récents ont également des caméras intégrées. Dans certains cas, les caméras sont utilisées pour la reconnaissance faciale afin que le téléviseur sache qui est en train de regarder les programmes pour adapter le contenu et réaliser des propositions. Certains de ses appareils permettent également de réaliser des appels vidéo.

« Outre le risque que votre fabricant de télévision et les développeurs d'applications vous écoutent et vous regardent, la télévision peut également être une passerelle pour que les pirates pénètrent dans votre maison. Un cyberacteur malveillant peut ne pas être en mesure d'accéder directement à votre ordinateur verrouillé, mais il est possible que votre téléviseur non sécurisé lui permette d'accéder facilement à la porte dérobée via votre routeur.

« Les pirates peuvent également prendre le contrôle de votre téléviseur non sécurisé. Au bas du spectre des risques, ils peuvent changer de chaîne, jouer avec le volume et montrer à vos enfants des vidéos inappropriées. Dans le pire des cas, ils peuvent allumer la caméra et le microphone de votre téléviseur et vous espionner ».

Ces produits et services connectés sont pourtant accompagnés de conditions d’utilisation. Mais le fait est que les utilisateurs n’en prennent pas connaissance.

Selon Statista, environ 97 % des personnes âgées de 18 à 34 ans ne lisent pas ces conditions. Néanmoins, la raison de cette situation a peut-être moins à voir avec la paresse qu'avec la longueur de ces documents.

Il faut souvent beaucoup de temps pour parcourir l'ensemble du document. L'une des conditions générales les plus courtes appartient à Instagram, et elle contient 2451 mots au total. À une vitesse de lecture moyenne d'environ 240 mots par minute, il faudrait à un internaute environ dix minutes pour parcourir l'ensemble du document. Ce n'est pas beaucoup, mais cela peut le paraître lorsqu’on essaie simplement de créer un compte sur le réseau social.

De plus, Instagram est un peu une exception à cet égard. Facebook, par exemple, a une page de conditions générales d'environ 4100 mots, ce qui prendrait au moins dix-sept minutes à lire à une vitesse de lecture moyenne. C'est beaucoup de temps à passer sur un tel document, mais une fois encore, il s'agit d'une valeur basse, car de nombreuses autres entreprises exigent des temps de lecture beaucoup plus longs.

Le pire exemple en la matière est sans doute Microsoft. L'entreprise possède une page de conditions générales absolument gigantesque qui contient plus de 15 000 mots, soit la taille d'un petit roman. Il faudrait bien plus d'une heure pour lire ces conditions générales, et il est inutile de préciser que personne n'a l'intention de passer une heure à faire quelque chose de ce genre.

De plus en plus de lois et règlements viennent désormais encadrer ce pistage en ligne à des fins publicitaires

Il n’est par exemple pas possible de stopper complètement la collecte de données sur son téléviseur connecté, mais l’on peut la limiter en désactivant des fonctions comme ACR. Pour cela, il faut accéder aux paramètres de confidentialité de l’appareil et décocher l’option qui autorise l’utilisation des informations provenant des entrées TV. Cette option varie selon les marques et les modèles. L’utilisateur peut en sus réinitialiser son identifiant publicitaire, qui est utilisé pour compiler des informations sur vous. Enfin, il faut penser à limiter l’utilisation des applications et des navigateurs sur le téléviseur, et privilégier des appareils externes qui offrent plus de contrôle sur les données collectées.

Les données collectées par les appareils connectés sont considérées comme des données personnelles au sens du RGPD.

Selon le RGPD, les fabricants de téléviseurs intelligents qui mettent à contribution des fonctions comme ACR doivent respecter certaines obligations, comme :

• informer les utilisateurs de la finalité et des destinataires des données collectées par l’ACR
• obtenir le consentement des utilisateurs avant d’activer l’ACR
• offrir la possibilité aux utilisateurs de désactiver l’ACR à tout moment
• garantir la sécurité et la confidentialité des données collectées par l’ACR
• limiter la durée de conservation des données collectées par l’ACR
• Respecter les droits des utilisateurs sur leurs données (accès, rectification, effacement, opposition, etc.)

Si les fabricants de téléviseurs intelligents ne respectent pas ces obligations, ils s’exposent à des sanctions de la part des autorités de contrôle, comme la CNIL en France. Ces sanctions peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Source : CDD (pièce jointe)

Et vous ?

Partagez-vous l’avis selon lequel de telles approches ne devraient plus surprendre dans une société du « tout connecté » comme la nôtre et qu’il est de la responsabilité des utilisateurs de s’en prémunir ? Ou êtes-vous d’avis que c’est à la loi d’imposer certaines normes en la matière ?
Quelles sont les dispositions que vous prenez de façon quotidienne pour vous prémunir ou pour réduire la surface de ce pistage en ligne ?

Voir aussi :

Amazon déploie Alexa dans les hôtels, l'assistant numérique permet de commander le service de chambre ou de contrôler les dispositifs connectés
Le chiffre d'affaires d'Amazon pour l'ensemble de l'année 2021 a augmenté de 22*% pour atteindre 469,8 milliards de dollars, malgré le passage des clients au multicloud
Des attaquants pourraient forcer les haut-parleurs connectés Amazon Echo à déverrouiller des portes, passer des appels téléphoniques, effectuer des achats non autorisés, selon des chercheurs
Amazon aurait choisi « d'entraîner » l'assistant numérique Alexa par des prestataires à leur insu. Ils devaient poser des questions dans une pièce remplie de prototypes d'Amazon Echo cachés