Un cylindre de quinze centimètres posé sur la table basse. Sobre, discret, presque banal. Et pourtant, cet objet, qu’il s’appelle Echo, Google Nest ou HomePod, ne dort jamais vraiment. Micro ouvert, connecté au cloud, lié à votre compte : bienvenue dans l’ère de l’assistant vocal, où le confort vocal s’accompagne d’un marché de données que peu d’utilisateurs ont vraiment lu dans les conditions générales.
À retenir
- Ces appareils se déclenchent accidentellement jusqu’à 19 fois par jour, capturant des conversations sans votre consentement
- Des humains écoutent vos enregistrements pour améliorer les algorithmes, y compris les numéros de carte bancaire
- Votre voix est une donnée biométrique vendue à des tiers, mais des solutions simples existent pour reprendre le contrôle
Un micro toujours allumé, par conception
Les enceintes connectées sont en veille permanente. Elles se réveillent lorsqu’elles détectent les mots-clés “Ok, Google”, “Hey, Alexa” ou “Dis, Siri”. C’est le principe même de leur fonctionnement, et c’est là que tout commence. Elles sont obligées d’être en mode écoute passive en permanence pour détecter le mot-clé qui va les déclencher. Le signal vocal passe ensuite par l’enceinte, mais son traitement se fait sur les serveurs de l’entreprise qui fabrique l’objet.
La distinction entre “écoute” et “enregistrement” que martèlent les fabricants est réelle, mais partielle. Ces appareils peuvent aussi enregistrer inopinément des conversations s’ils croient avoir entendu le mot-clé. Des chercheurs de l’université de Northeastern ont quantifié le phénomène de façon assez sidérante : les assistants se mettent en marche accidentellement jusqu’à 19 fois par jour, ce qui représente autant de fois que les micros des assistants ont pu comprendre à tort leur commande d’activation. L’HomePod d’Apple confond “He clearly” avec “Hey Siri”. Alexa tend l’oreille lorsqu’un K ou un G s’ajoutent à une voyelle, c’est par exemple le cas pour “Pickles”. Elle se réveille même pour “Congresswoman”.
À chaque déclenchement, l’assistant cherche à capter ses commandes durant au moins six secondes et jusqu’à 43 secondes dans certains cas. Quarante-trois secondes d’écoute active, potentiellement à votre insu, pour une fausse alerte déclenchée par un dialogue de série télé. La promesse du mot magique comme seul déclencheur est donc, en pratique, nettement moins hermétique que les plaquettes marketing ne le laissent entendre.
Ce que les entreprises font vraiment de vos données vocales
Toutes les interactions avec Alexa sont enregistrées, liées au compte utilisateur, et sauvegardées dans une base de données Amazon pour toujours. Ce n’est pas une hypothèse, c’est écrit dans les conditions d’utilisation, à condition de les lire jusqu’au bout. Ces oreilles humaines, analystes de données, ne sont évoquées que de manière très implicite dans les conditions d’utilisation des enceintes. Amazon mentionne simplement que des enregistrements peuvent être utilisés “pour améliorer l’expérience”.
Or, “améliorer l’expérience” recouvre une réalité plus concrète. On a révélé que ce n’était pas juste les machines qui écoutaient ces données. Des humains annotaient les extraits audio pour correctement reconnaître la phrase qui a été prononcée, et c’est seulement une fois qu’ils étaient annotés qu’on les envoyait aux algorithmes d’apprentissage. Des salariés d’Amazon et de Google ont ainsi écouté, trié et classifié des fragments de conversations privées, incluant parfois des numéros de carte bancaire, des adresses ou des bribes d’intimité familiale.
L’enceinte connectée haut de gamme accède à de nombreuses informations liées à votre vie privée. Elle enregistre vos goûts musicaux, connaît vos heures de réveil et de sommeil et peut même récolter des données sur vos achats en ligne. Ajoutez à cela la dimension biométrique, souvent ignorée : comme l’a déclaré Rand Hindi, membre du conseil national du numérique : “La voix est une donnée biométrique. Le vrai danger c’est l’usurpation d’identité à travers la copie de l’empreinte vocale. Ce n’est pas de la science-fiction.” Alors que personne n’accepterait de transmettre ses empreintes digitales à une entreprise privée, en adoptant ces gadgets, les utilisateurs acceptent de leur confier leur signature vocale. Celle-ci peut renseigner sur l’âge, la santé, l’émotion, le lieu et la taille de la maison, les personnes présentes dans la maison.
La CNIL, de son côté, a qualifié la situation sans ambages. N’hésitant pas à parler de “monétisation de l’intime”, l’institution adresse des recommandations aux personnes souhaitant ne pas être enregistrées en permanence, ce qui pourrait entre autres “enrichir votre profil publicitaire”.
Failles, invités surprises et enfants dans la boucle
Le point décisif, c’est tout ce qui s’ajoute autour : détection du mot-clé, traitement local ou distant, historique de requêtes, amélioration des performances de reconnaissance, association à un compte principal, synchronisation avec d’autres services de la maison, et parfois exposition à des applications tierces censées étendre les capacités de l’assistant. Ces applications tierces, les “skills” chez Amazon, les “Actions” chez Google, constituent une surface d’attaque que peu d’utilisateurs mesurent. Des programmes développés par des chercheurs de Security Research Labs gardaient en effet l’enceinte en mode écoute permanente sans que l’utilisateur ne s’en rende compte.
Il y a aussi les scénarios moins hollywoodiens mais plus courants. Lorsque les entreprises collectent des paquets massifs de données, celles-ci peuvent faire l’objet de fuites, de piratage ou d’accès par les forces de l’ordre. En 2019, Amazon a été contraint de partager des enregistrements d’Alexa dans le cadre d’une enquête. Et les incidents ne sont pas que judiciaires : une enceinte Amazon Alexa a envoyé une conversation privée par erreur à un contact du propriétaire, à la suite d’une succession de malentendus dans l’écoute de la conversation.
La question du consentement pour une personne qui ne serait pas en possession d’une enceinte mais se trouvant dans un lieu où un smart speaker est allumé a suscité de nombreux débats. Si un individu dispose d’un de ces appareils connectés actifs, il a lu et accepté les conditions d’utilisation. Cependant, un vide juridique se crée dès lors que le foyer comporte plusieurs personnes. Vos enfants, vos invités du week-end, votre baby-sitter du jeudi soir, aucun d’eux n’a signé quoi que ce soit.
Reprendre le contrôle : ce qui marche vraiment
La CNIL recommande de couper le micro ou de débrancher l’enceinte lorsque vous ne l’utilisez pas. Le conseil est simple, mais il demande une discipline quotidienne que peu de gens ont. Les enceintes connectées ont justement été conçues pour être passives et disponibles, les forcer à s’éteindre revient à amputer leur intérêt principal. Mais il existe des gestes moins radicaux.
Tous les modèles proposent un bouton physique de coupure du micro, un interrupteur matériel que même un logiciel ne peut contourner. Supprimer l’historique de vos commandes permet d’effacer les enregistrements précédents en local et dans le cloud. Ces informations sont utilisées pour mieux interpréter votre voix, mais le respect de la vie privée vaut peut-être plus qu’un contretemps occasionnel. Les commandes peuvent être supprimées sur la plupart des services, soit individuellement, soit dans un intervalle de temps, soit dans leur intégralité.
La CNIL rappelle que “les propos tenus face à l’appareil peuvent enrichir votre profil publicitaire” et invite à ne connecter que des services “qui présentent réellement une utilité, tout en considérant les risques à partager des données intimes ou des fonctionnalités sensibles (ouverture porte, alarme…)”. : ne connectez pas votre enceinte à tout ce que votre maison peut brancher, sous prétexte que la fonctionnalité existe.
Côté constructeurs, Apple fait figure d’exception méthodique : Apple anonymise toutes les interactions avec le HomePod et ne lie pas les questions posées au compte Apple de son utilisateur, supprimant au final toutes les données de ces communications. Le prix à payer est une assistante vocale moins puissante. Choix de valeurs, pas de hasard technique. Derrière la simplicité apparente, il y a un appareil branché au cœur du foyer, relié au cloud, à des comptes personnels, à des historiques vocaux, à des services tiers et à des logiques de collecte de données que peu d’utilisateurs prennent vraiment le temps d’examiner. L’IA générative, désormais intégrée dans les nouvelles générations d’assistants vocaux, va encore approfondir ce paradoxe : les enceintes deviennent plus utiles, plus contextuelles, plus “intelligentes”, et donc, inévitablement, plus gourmandes en données pour fonctionner.
Sources : nextinpact.com | phonandroid.com