Quelques mois plus tard, un lien de téléchargement vers un fichier ZIP de 100 Mo lui a été envoyé. Environ 50 des fichiers compressés contenaient des données relatives à des tâches courantes telles que les recherches sur Amazon, mais il y avait également environ 1 700 fichiers WAV et un fichier PDF cataloguant les transcriptions non triées des interprétations d’Alexa de ses commandes vocales.
Il a été extrêmement surpris de trouver ces fichiers car il n’utilisait pas Alexa et ne possédait aucun appareil compatible avec Alexa. Il a écouté des échantillons de fichiers aléatoires, mais n’a reconnu aucune des voix qu’ils contenaient.
Le 8 novembre, il a contacté le service clientèle d’Amazon.de pour leur dire que les fichiers qu’il avait reçus étaient manifestement ceux de quelqu'un d’autre. Il a également demandé plus d'informations sur la personne à qui ils pourraient appartenir. Il n'a jamais reçu de réponse, mais peu après, il a constaté que le lien de téléchargement vers les fichiers était mort. Schneider avait déjà sauvegardé les fichiers localement et avait contacté des experts à la mi-novembre, inquiet des conséquences de ce qu’il avait découvert.
Sur la base de détails tels que les noms des personnes et les prévisions météorologiques locales enregistrées dans les fichiers, les experts ont rapidement pu identifier le malheureux utilisateur d’Echo dont les données ont été révélées de manière illégale par Amazon.
N’ayant pas le contact téléphonique de la victime, les experts sont passé par Twitter pour lui demander de les contacter, ce qu’elle a fait.
Envoyé par Experts
La victime s’est montrée choquée par ce qui s’est passé, surtout qu’Amazon n’a pas pris la peine de la contacter pour lui dire qu’il y avait eu une fuite et encore moins pour lui expliquer ce qui s’est passé.
Selon la victime (Neil Schmidt), Amazon ne l’a pas contacté non plus. Les systèmes de protection des données d’Amazon sont manifestement défectueux à plusieurs niveaux. Les experts affirment avoir contacté Amazon à propos du cas sans préciser qu’ils ont pu identifier la victime. Selon la loi, Amazon est obligé de contacter les autorités de protection des données dans les 72 heures qui suivent la découverte d'une telle violation, et les chercheurs voulaient savoir si l’entreprise allait réellement le faire.
Amazon a refusé de répondre à leurs questions, mais leur a écrit quelques jours plus tard pour dire que l'affaire en question était un « incident malheureux » résultant d'une erreur humaine : « Ce cas malheureux est le résultat d'une erreur humaine et il s’agit d’un cas isolé », a déclaré jeudi un porte-parole d'Amazon. Ils ont également expliqué qu'ils avaient résolu le problème avec les deux clients et avaient introduit des mesures pour améliorer les processus impliqués.
Selon Martin Schneider, Amazon a « résolu » le problème en demandant à quelqu'un de l'appeler (trois jours après avoir contacté Amazon) pour lui expliquer qu'un membre de son personnel avait commis une erreur ponctuelle. Le même jour, Amazon a également appelé Neil Schmidt pour lui dire que ses fichiers vocaux Alexa étaient tombés entre de mauvaises mains.
Pour les experts, le fait qu’Amazon ait lié les données d’un client à la mauvaise personne et n’a pas remarqué l’erreur indique un grave manque de contrôle sur les processus impliqués. Il est évident qu’aucun contrôle sérieux n’a eu lieu. La situation est aggravée par le fait que Martin Schneider n'a pas reçu de réponse lorsqu'il a informé Amazon de l'erreur. Cependant, la FAQ sur la confidentialité des données d’Amazon indique qu’elle enregistre les fichiers pour l’aider à développer ses systèmes de reconnaissance vocale et linguistique. Amazon souligne également le fait que les clients peuvent consulter et supprimer des enregistrements vocaux sur amazon.de/alexaprivacy. Il n’est pas clair combien de clients connaissent cette option ou combien l’utilisent réellement.
Source : rapport (au format PDF)
Et vous ?
Qu'en pensez-vous ?
Voir aussi :
Amazon implémente des techniques d'auto-apprentissage dans Alexa, pour que son assistant numérique puisse mieux comprendre les utilisateurs
Amazon a annoncé qu'il va construire ses propres puces pour piloter ses serveurs, Intel devrait-il s'inquiéter ?
24 ouvriers d'Amazon soignés à l'hôpital après qu'un robot ait déchiré accidentellement une bombe anti-ours, dans un entrepôt à News Jersey
Amazon est devenu pendant quelques secondes l'entreprise technologique la plus valorisée au monde en devançant Apple, Microsoft et Alphabet
Amazon lance un vérificateur de compatibilité matérielle pour les PC, pour aider les utilisateurs qui veulent changer les pièces de leurs machines