Ce nouveau gadget qui empêche les assistants vocaux de vous espionner

Atlantico : Une entreprise américaine a développé LeakyPick, un petit appareil qui promet de sécuriser nos conversations de toute écoute intempestive de la part d’appareils connectés tels que les enceintes Alexa ou Google Home, ou l'assistant vocal Siri d'Apple. Comment cette technologie fonctionne-t-elle ?

Jérôme Durel : LeakyPick est un appareil que l'on pose à proximité de son enceinte connectée, relié au même réseau pour qu'il puisse fonctionner. L'appareil est connecté au réseau et détecte les transmissions audio qui ont lieu depuis l'enceinte vers ses serveurs. Cela permet tout simplement de se rendre compte quand des données sont envoyées.

L'équipe en charge de LeakyPick a également découvert des centaines de mots qui, prononcés, peuvent réveiller ces assistants. En quoi est-ce un problème ?

C'est la deuxième fonctionnalité de l'appareil : il peut analyser ce qui se passe lorsqu'on émet un son. Aujourd'hui, Google Home ou Alexa sont appelés par des commandes vocales, comme "OK Google" ou "Alexa", mais aussi d'autres mots qui peuvent être interprétés par les enceintes. Quand elles ne sont pas sûres du mot, elles vont envoyer des données au serveur pour s'assurer que c'est bien ce mot qui a été prononcé. Cela veut dire que potentiellement, sans qu'on s'en rende compte, on peut être écouté.

Les deux objectifs de LeakyPick sont donc de détecter les transmissions de données et d'envoyer des faux positifs pour savoir lesquels sont détectés par l'enceinte.

Quels sont les risques à laisser nos appareils nous écouter ?

Le risque principal est d'être écouté sans le savoir. Vous pouvez activer l'enceinte en parlant d'autre chose et donner un numéro de compte, des données confidentielles, etc., qui seront transmis au serveur.

Est-ce un risque avéré ou de la paranoïa ?

Il y a potentiellement une faille de sécurité, avec un envoi de données possible, mais même dans ce cas, il n'y a pas d'être humain qui écoute. Les termes sont analysés par des robots. Ce n'est pas parce que vous envoyez des données à un serveur qu'un employé de Google va vous écouter. C'est là qu'on peut parler de paranoïa. Pour qu'il y ait un risque important, il faudrait que les robots soient paramétrés pour repérer les données confidentielles, et cela demanderait un entraînement très important.

Et Amazon, Apple ou Google ont peut-être plus à perdre à tenter de le faire... Finalement, cet appareil est peut-être plus utile pour se protéger des hackers ?

Exactement. Vous imaginez le scandale si on apprenait un jour que Google écoutait les conversations !

Etant donné que LeakyPick va détecter les envois de données, une tentative de hack serait signalée à l'utilisateur. Il y a déjà eu des histoires de lasers qui permettent d'activer Alexa à distance. Là, il y aurait eu une alerte.

Existe-t-il d’autres façons de se prémunir de tels dangers ?

La vérité, c'est que la solution la plus simple est de ne pas avoir d'enceinte, ou d'appuyer sur le bouton qui permet de couper le micro. Il n'y a alors aucune chance que le son passe. Il y a aussi la possibilité sur les box Internet de couper le réseau Wifi à certaines heures, mais vous ne pouvez alors plus utiliser pleinement l'enceinte. Il est aussi possible de désactiver la reconnaissance vocale des mots clefs comme "OK Google".

N'est-ce pas un peu paradoxal de s'équiper d'un tel appareil et d'ensuite s'inquiéter qu'il envoie des données à Amazon, Apple ou Google ?

C'est tout le débat sur le rapport bénéfice-risque. A quel moment le service qui vous est rendu est plus intéressant que les risques en termes de sécurité ? On peut estimer qu'il est intéressant d'avoir une enceinte connectée chez soi pour une multitude de raisons : mettre de la musique, commander sur Amazon, etc. Etes-vous prêt à céder une partie de votre intimité contre ce service rendu ? Le choix revient à chacun.