Suite à une demande de données relative au RGPD, Amazon a envoyé 1 700 enregistrements audio Alexa
Au mauvais utilisateur
Le 2018-12-20 23:06:58, par Stéphane le calme, Chroniqueur Actualités
En août, en Allemagne, un client Amazon du nom de Martin Schneider a fait usage de son droit d’accès aux données personnelles sur lui sauvegardées par l’entreprise, droit qui lui est accordé par le nouveau règlement général de l’UE sur la protection des données (RGPD).
Quelques mois plus tard, un lien de téléchargement vers un fichier ZIP de 100 Mo lui a été envoyé. Environ 50 des fichiers compressés contenaient des données relatives à des tâches courantes telles que les recherches sur Amazon, mais il y avait également environ 1 700 fichiers WAV et un fichier PDF cataloguant les transcriptions non triées des interprétations d’Alexa de ses commandes vocales.
Il a été extrêmement surpris de trouver ces fichiers car il n’utilisait pas Alexa et ne possédait aucun appareil compatible avec Alexa. Il a écouté des échantillons de fichiers aléatoires, mais n’a reconnu aucune des voix qu’ils contenaient.
Le 8 novembre, il a contacté le service clientèle d’Amazon.de pour leur dire que les fichiers qu’il avait reçus étaient manifestement ceux de quelqu'un d’autre. Il a également demandé plus d'informations sur la personne à qui ils pourraient appartenir. Il n'a jamais reçu de réponse, mais peu après, il a constaté que le lien de téléchargement vers les fichiers était mort. Schneider avait déjà sauvegardé les fichiers localement et avait contacté des experts à la mi-novembre, inquiet des conséquences de ce qu’il avait découvert.
Sur la base de détails tels que les noms des personnes et les prévisions météorologiques locales enregistrées dans les fichiers, les experts ont rapidement pu identifier le malheureux utilisateur d’Echo dont les données ont été révélées de manière illégale par Amazon.
N’ayant pas le contact téléphonique de la victime, les experts sont passé par Twitter pour lui demander de les contacter, ce qu’elle a fait.
La victime s’est montrée choquée par ce qui s’est passé, surtout qu’Amazon n’a pas pris la peine de la contacter pour lui dire qu’il y avait eu une fuite et encore moins pour lui expliquer ce qui s’est passé.
Selon la victime (Neil Schmidt), Amazon ne l’a pas contacté non plus. Les systèmes de protection des données d’Amazon sont manifestement défectueux à plusieurs niveaux. Les experts affirment avoir contacté Amazon à propos du cas sans préciser qu’ils ont pu identifier la victime. Selon la loi, Amazon est obligé de contacter les autorités de protection des données dans les 72 heures qui suivent la découverte d'une telle violation, et les chercheurs voulaient savoir si l’entreprise allait réellement le faire.
Amazon a refusé de répondre à leurs questions, mais leur a écrit quelques jours plus tard pour dire que l'affaire en question était un « incident malheureux » résultant d'une erreur humaine : « Ce cas malheureux est le résultat d'une erreur humaine et il s’agit d’un cas isolé », a déclaré jeudi un porte-parole d'Amazon. Ils ont également expliqué qu'ils avaient résolu le problème avec les deux clients et avaient introduit des mesures pour améliorer les processus impliqués.
Selon Martin Schneider, Amazon a « résolu » le problème en demandant à quelqu'un de l'appeler (trois jours après avoir contacté Amazon) pour lui expliquer qu'un membre de son personnel avait commis une erreur ponctuelle. Le même jour, Amazon a également appelé Neil Schmidt pour lui dire que ses fichiers vocaux Alexa étaient tombés entre de mauvaises mains.
Pour les experts, le fait qu’Amazon ait lié les données d’un client à la mauvaise personne et n’a pas remarqué l’erreur indique un grave manque de contrôle sur les processus impliqués. Il est évident qu’aucun contrôle sérieux n’a eu lieu. La situation est aggravée par le fait que Martin Schneider n'a pas reçu de réponse lorsqu'il a informé Amazon de l'erreur. Cependant, la FAQ sur la confidentialité des données d’Amazon indique qu’elle enregistre les fichiers pour l’aider à développer ses systèmes de reconnaissance vocale et linguistique. Amazon souligne également le fait que les clients peuvent consulter et supprimer des enregistrements vocaux sur amazon.de/alexaprivacy. Il n’est pas clair combien de clients connaissent cette option ou combien l’utilisent réellement.
Source : rapport (au format PDF)
Et vous ?
Voir aussi :
Quelques mois plus tard, un lien de téléchargement vers un fichier ZIP de 100 Mo lui a été envoyé. Environ 50 des fichiers compressés contenaient des données relatives à des tâches courantes telles que les recherches sur Amazon, mais il y avait également environ 1 700 fichiers WAV et un fichier PDF cataloguant les transcriptions non triées des interprétations d’Alexa de ses commandes vocales.
Il a été extrêmement surpris de trouver ces fichiers car il n’utilisait pas Alexa et ne possédait aucun appareil compatible avec Alexa. Il a écouté des échantillons de fichiers aléatoires, mais n’a reconnu aucune des voix qu’ils contenaient.
Le 8 novembre, il a contacté le service clientèle d’Amazon.de pour leur dire que les fichiers qu’il avait reçus étaient manifestement ceux de quelqu'un d’autre. Il a également demandé plus d'informations sur la personne à qui ils pourraient appartenir. Il n'a jamais reçu de réponse, mais peu après, il a constaté que le lien de téléchargement vers les fichiers était mort. Schneider avait déjà sauvegardé les fichiers localement et avait contacté des experts à la mi-novembre, inquiet des conséquences de ce qu’il avait découvert.
Sur la base de détails tels que les noms des personnes et les prévisions météorologiques locales enregistrées dans les fichiers, les experts ont rapidement pu identifier le malheureux utilisateur d’Echo dont les données ont été révélées de manière illégale par Amazon.
N’ayant pas le contact téléphonique de la victime, les experts sont passé par Twitter pour lui demander de les contacter, ce qu’elle a fait.
La victime s’est montrée choquée par ce qui s’est passé, surtout qu’Amazon n’a pas pris la peine de la contacter pour lui dire qu’il y avait eu une fuite et encore moins pour lui expliquer ce qui s’est passé.
Selon la victime (Neil Schmidt), Amazon ne l’a pas contacté non plus. Les systèmes de protection des données d’Amazon sont manifestement défectueux à plusieurs niveaux. Les experts affirment avoir contacté Amazon à propos du cas sans préciser qu’ils ont pu identifier la victime. Selon la loi, Amazon est obligé de contacter les autorités de protection des données dans les 72 heures qui suivent la découverte d'une telle violation, et les chercheurs voulaient savoir si l’entreprise allait réellement le faire.
Amazon a refusé de répondre à leurs questions, mais leur a écrit quelques jours plus tard pour dire que l'affaire en question était un « incident malheureux » résultant d'une erreur humaine : « Ce cas malheureux est le résultat d'une erreur humaine et il s’agit d’un cas isolé », a déclaré jeudi un porte-parole d'Amazon. Ils ont également expliqué qu'ils avaient résolu le problème avec les deux clients et avaient introduit des mesures pour améliorer les processus impliqués.
Selon Martin Schneider, Amazon a « résolu » le problème en demandant à quelqu'un de l'appeler (trois jours après avoir contacté Amazon) pour lui expliquer qu'un membre de son personnel avait commis une erreur ponctuelle. Le même jour, Amazon a également appelé Neil Schmidt pour lui dire que ses fichiers vocaux Alexa étaient tombés entre de mauvaises mains.
Pour les experts, le fait qu’Amazon ait lié les données d’un client à la mauvaise personne et n’a pas remarqué l’erreur indique un grave manque de contrôle sur les processus impliqués. Il est évident qu’aucun contrôle sérieux n’a eu lieu. La situation est aggravée par le fait que Martin Schneider n'a pas reçu de réponse lorsqu'il a informé Amazon de l'erreur. Cependant, la FAQ sur la confidentialité des données d’Amazon indique qu’elle enregistre les fichiers pour l’aider à développer ses systèmes de reconnaissance vocale et linguistique. Amazon souligne également le fait que les clients peuvent consulter et supprimer des enregistrements vocaux sur amazon.de/alexaprivacy. Il n’est pas clair combien de clients connaissent cette option ou combien l’utilisent réellement.
Source : rapport (au format PDF)
Et vous ?
Voir aussi :
-
bali0x4dMembre du ClubTiens donc et la marmotte elle met le chocolat dans le papier d'alu.
Franchement je trouve ça déjà dérangeant qu'ils gardent des enregistrements vocaux. Mais c'est pour notre bien qu'ils disent.le 20/12/2018 à 23:59 -
MysticKhal_0Membre régulierZip de 100Mo, 1700 fichiers WAV, ça semble douteux, même si je suis le premier à critiquer ce genre de boites.le 21/12/2018 à 9:13
-
23JFKMembre expertPas nécessairement, il ne s'agit certainement pas de fichiers stéréo, ni même d'enregistrements en haute qualité, et une requête vocale dure rarement plus de deux secondes, alors, une fois compressé, cela doit pouvoir tenir dans un amas de 100Mo.le 21/12/2018 à 10:35
-
Ryu2000Membre extrêmement actifOuais en effet le format wav est non compressé, donc ça pèse lourd. (c'est pas du .flac, .ogg, .mp3)
En gros 700MB correspond à 80 minutes de wav, non ?
Si j'ai compris il a écrit que dans un fichier zip de 100 Mo il y a :
- 50 des fichiers compressés contenaient des données relatives à des tâches courantes telles que les recherches sur Amazon
- 1 700 fichiers WAV
- un fichier PDF cataloguant les transcriptions non triées des interprétations d’Alexa de ses commandes vocales
Ouais mais pour entendre les requêtes Alexa doit écouter en permanence.
Alors peut-être que tout le reste n'est pas sauvegardé, mais on sait jamais...le 21/12/2018 à 11:16 -
abriotdeMembre chevronnéMais le problème n°1 c'est que le système n'a pas été mis en place proprement. il aurait fallut des années pour le mettre en place. Les entreprises ont peur des sanctions, et donc le travail est fait à la main avec les erreur humaine qui y arrivent. Chez les grandes entreprises encore ç'est géré d'une manière correct (mais avec des erreurs). Le RGPD est une loie votée à la va vite et appliqué sans délai réaliste, qui entraîne des failles de sécurité dans les entreprises européennes. Je suis persuadé que si je voulais je pourrais obtenir les information d'une autres personnes en le demandant sous le couvert du RGPDle 21/12/2018 à 14:04