Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

L'app Ring d'Amazon partage de nombreuses infos personnelles à l'insu des utilisateurs
Elle a été surprise en train de donner des informations à Facebook, que les utilisateurs aient un compte ou non

Le , par Stéphane le calme

2.4KPARTAGES

12  0 
La gamme de produits de surveillance à domicile Ring d'Amazon a fait l'objet d'un examen minutieux ces derniers mois à la suite d'une litanie apparemment interminable de révélations inquiétantes sur les partenariats de Ring avec la police, la sécurité des comptes, les vulnérabilités, l'espionnage des employés et le partage de données de localisation extrêmement détaillées. Cette fois-ci, un nouveau rapport à ajouter à la pile : il semble que l'application que les clients utilisent pour gérer et contrôler une caméra Ring envoie également toutes sortes de données personnelles à des sociétés.

Une sonnette connectée qui embarque des traceurs tiers

Ring n'est pas seulement un produit qui permet aux utilisateurs de surveiller leurs voisins. L'entreprise l'utilise également pour surveiller ses clients.

Une enquête menée par le défenseur des droits numériques EFF (Electronic Frontier Foundation) sur l'application Ring Doorbell pour Android a révélé qu'elle était remplie de traceurs tiers envoyant une pléthore d'informations personnellement identifiables (PII) des clients. Il a été découvert que quatre principales sociétés d'analyse et de marketing recevaient des informations telles que les noms, les adresses IP privées, les opérateurs de réseau mobile, les identifiants persistants et les données de capteur sur les appareils des clients payants.

Le danger d'envoyer des informations, même de petite taille, est que les sociétés d'analyse et de suivi sont capables de combiner ces octets pour former une image unique de l'appareil de l'utilisateur. Cet ensemble cohérent représente une empreinte numérique qui permet de suivre l'utilisateur lorsqu'il interagit avec d'autres applications et utilise son appareil, offrant essentiellement aux traceurs la possibilité d'espionner ce que fait un utilisateur dans sa vie numérique et quand il le fait. Tout cela a lieu sans notification ou consentement significatif de l'utilisateur et, dans la plupart des cas, aucun moyen d'atténuer les dommages causés. Même lorsque ces informations ne sont pas utilisées à mauvais escient et utilisées précisément pour leur objectif déclaré (dans la plupart des cas, le marketing), cela peut entraîner toute une série de maux sociaux.

« Nos tests, qui se sont appuyés sur Ring pour Android version 3.21.1, ont révélé la livraison de PII à branch.io, mixpanel.com, appsflyer.com et facebook.com. Facebook, via son API Graph, est alerté lorsque l'application est ouverte et sur les actions de l'appareil telles que la désactivation de l'application après le verrouillage de l'écran en raison de l'inactivité. Les informations fournies à Facebook (même si vous n'avez pas de compte Facebook) comprennent le fuseau horaire, le modèle d'appareil, les préférences linguistiques, la résolution d'écran et un identifiant unique (anon_id), qui persiste même lorsque vous réinitialisez l'ID d'annonceur au niveau du système d'exploitation.


Données livrées à graph.facebook.com

« Branch, qui se décrit comme une plateforme de "lien profond", reçoit un certain nombre d'identifiants uniques (device_fingerprint_id, hardware_id, identity_id) ainsi que l'adresse IP locale, le modèle, la résolution d'écran et le DPI de votre appareil.

« AppsFlyer, une société de Big Data axée sur la plateforme mobile, reçoit un large éventail d'informations lors du lancement de l'application ainsi que certaines actions des utilisateurs, telles que l'interaction avec la section "Neighbors" de l'application. Ces informations incluent votre opérateur de téléphonie mobile, lorsque Ring a été installé et lancé, un certain nombre d'identifiants uniques, l'application à partir de laquelle vous avez installé et si le suivi AppsFlyer a été préinstallé sur l'appareil. Cette dernière information est probablement destinée à déterminer si le suivi AppsFlyer a été inclus en tant que bloatware sur un appareil Android bas de gamme. Les fabricants compensent souvent les coûts de production d'appareils en vendant des données sur les consommateurs, une pratique qui affecte de manière disproportionnée les personnes à faible revenu et a fait l'objet d'une récente pétition à Google lancée par Privacy International et cosignée par EFF.

« Plus alarmant encore, AppsFlyer reçoit également les informations issues des capteurs installés sur votre appareil (sur notre appareil de test, notamment le magnétomètre, le gyroscope et l'accéléromètre) et les paramètres d'étalonnage actuels.

« Ring donne de loin à MixPanel le plus d'informations. Les noms complets, les adresses e-mail des utilisateurs, les informations sur les appareils tels que la version et le modèle du système d'exploitation, si le Bluetooth est activé et les paramètres des applications tels que le nombre d'emplacements sur lesquels les appareils Ring sont installés, sont tous collectés et signalés à MixPanel. MixPanel est brièvement mentionné dans la liste des services tiers de Ring, mais l'étendue de leur collecte de données ne l'est pas. Aucun des autres traceurs répertoriés dans cet article n'est mentionné du tout sur cette page ».

Méthodologie

Tout le trafic que l'EFF a observé sur l'application était envoyé via HTTPS chiffré. De plus, les informations chiffrées ont été fournies d'une manière qui échappe à l'analyse, ce qui rend plus difficile (mais pas impossible) pour les chercheurs en sécurité la découverte et le signalement de ces graves atteintes à la vie privée.

L'analyse dynamique a été réalisée à l'aide de mitmproxy exécuté sur un point d'accès pour intercepter et analyser les flux HTTPS à partir d'un appareil de test Android. Pour supprimer le bruit généré par d'autres applications, l'EFF a installé l'application de pare-feu AFWall + et autorisé uniquement le trafic réseau de Ring. mitmproxy génère un certificat racine x509 qui doit être installé dans le magasin de certificats au niveau du système d'exploitation dans Android, permettant une interception active sur le trafic autrement sécurisé. Cela a conduit l'EFF à la découverte initiale que le certificat racine n'était pas accepté comme valide et qu'une forme d'épinglage de certificat était utilisée par l'application.


L'épinglage de certificat au niveau de l'application se produit lorsqu'une application valide les certificats d'un serveur distant par rapport à un enregistrement de ce certificat stocké dans l'application, plutôt que de valider par rapport à la liste des certificats racine dans le système d'exploitation. Ceci est souvent utilisé comme mesure de sécurité, pour garantir qu'une mauvaise délivrance de certificats ou une mauvaise gestion le long de la chaîne de confiance dans l'ICP ne compromet pas l'intégrité, la confidentialité ou l'authenticité du trafic HTTPS. Malheureusement, cela peut également empêcher les chercheurs en sécurité et les utilisateurs de voir exactement quelles informations ces appareils envoient et à qui. Dans le cas de Ring, l'EFF a initialement observé que tout le trafic intercepté lors du lancement était rejeté, et la fondation n'a pu observer aucune communication.

Ce n'est que grâce à la puissante infrastructure d'analyse dynamique Frida que l'EFF a pu injecter du code dans Ring au moment de l'exécution, ce qui a garanti que le certificat fourni par son instance mitmproxy serait accepté comme valide. Cela lui a permis d'inspecter tout le trafic HTTPS envoyé via l'application.

Conclusion

À ce stade du XXIe siècle, il semblerait de plus en plus prévisible que les appareils que vous utilisez ou que vous gérez vous surveillent et partagent vos données. Et l'EFF de regretter que :

« Ring prétend accorder la priorité à la sécurité et à la confidentialité de ses clients, et pourtant, nous constatons à maintes reprises que ces revendications sont non seulement insuffisantes, mais nuisent également aux clients et aux membres de la communauté qui interagissent avec le système de surveillance de Ring. Dans le passé, nous avons mis en lumière la mauvaise gestion des informations des utilisateurs qui a conduit à des violations de données, et la tentative de rejeter la faute sur de telles erreurs aux pieds des clients.

« Cela va au-delà de cela, en fournissant simplement des données sensibles à des tiers non responsables devant Ring ou liés par la confiance placée dans la relation client-fournisseur. Comme nous l'avons mentionné, cela comprend des informations sur votre appareil et votre opérateur, des identifiants uniques qui permettent à ces entreprises de vous suivre dans les applications, des données d'interaction en temps réel avec l'application et des informations sur votre réseau domestique. Dans le cas de MixPanel, il comprend même votre nom et votre adresse e-mail. Ces données sont données à des parties qui ne sont que brièvement mentionnées, enfouies sur une page interne que les utilisateurs ne verront probablement jamais ou ne sont pas répertoriées du tout ».

Mais il faut également noter ses accords avec les forces de l'ordre. La société a gardé la portée de ses partenariats avec la police secrète jusqu'en août, date à laquelle les rapports de plusieurs médias lui ont fait perdre la main : c'est alors que Ring a admis avoir eu 405 de tels arrangements. Un examen de la liste aujourd'hui révèle que le nombre a plus que doublé au cours des six derniers mois et s'élève désormais à 845 arrangements. Les termes de ces accords sont également quelque peu flous et généralement cachés au public.

Le Congrès a exigé des réponses de Ring concernant la vie privée des utilisateurs. Pendant ce temps, la société fait face à un procès de plusieurs utilisateurs suite à une vague de piratage d'appareils. Les plaignants, qui demandent le statut de recours collectif pour leur poursuite, allèguent que la société n'a pas fourni de mesures de sécurité suffisantes à ses utilisateurs et a décidé de blâmer les utilisateurs de leur propre malheur.

Sources : EFF, Ring

Et vous ?

Êtes-vous surpris des résultats des recherches de l'EFF sur l'application Ring ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 29/01/2020 à 10:10
Citation Envoyé par emilie77 Voir le message
nos données d'achat
T'as encore rien vu :
Apple, Amazon et Google s’associent à une nouvelle organisation qui propose de définir un standard ouvert pour les périphériques domestiques intelligents afin de les rendre plus compatibles
Les grosses entreprises auront toutes les infos, avec ton smartphone elles sauront en permanence où tu trouves, ainsi que les sites que tu visites, si t'as une enceinte connecté tu seras sur écoute en permanence, etc.
Il y a des algorithmes qui doivent vous connaitre mieux que vos ne vous connaissez vous même (en tout cas ils ont un paquet d'infos sur vous).
Tout ça pour afficher de la pub pour des produits susceptible de vous intéressez. Avec les infos récupéré, les entreprises vont pouvoir créer des appareils et des services qui répondront aux besoins des utilisateurs.
3  0 
Avatar de lvr
Membre éprouvé https://www.developpez.com
Le 29/01/2020 à 12:31
Citation Envoyé par Ryu2000 Voir le message
Je ne pense pas que ça ait rapport avec la nature humaine, ça a plus rapport avec la nature des grosses multinationales qui veulent gagner le plus d'argent possible pour faire plaisir aux actionnaires.
... actionnaires qui sont... humains. Donc ça a bien rapport à la nature humaine. Et sa soif malseine d'argent et de pouvoir.
3  0 
Avatar de Edrixal
Membre éprouvé https://www.developpez.com
Le 30/01/2020 à 9:17
Citation Envoyé par Ryu2000 Voir le message
Ça concerne ceux qui sont dans le trip capitaliste. Ça n'existe pas depuis des millénaires et ça n'existera peut-être pas pour toujours. L'intégralité des humains ne sont pas obsédé par l'argent.
Le capitalisme, le besoin d'enrichissement personnel, ça ne fait pas partie de la nature humaine. Il y a juste des humains qui ont été perverti par le capitalisme.

Il aurait fallut formuler la phrase autrement, par exemple : si la nature à moins de place, si les courants d'eau sont pollués, si l'air est pollué, si plein d’espèces disparaissent, c'est de la faute aux humains car ils ont laissé le pouvoir à n'importe qui. Ils ne font pas parti activement du problème ils ont juste laisser-faire.
Enfin bref c'est du détail, ce qui est certains c'est que de nombreuses grosses entreprises n'ont aucune éthique et sont prêtent à tout pour augmenter leur profit. Donc elles continueront à acheter et à vendre des informations personnelles et les consommateurs leur donneront de plus en plus d'infos.
La nature humaine c'est la domination. Que ce soit par l'argent, l'influence, la force, le sexe ou je ne sais quoi d'autre.
De tout temps, les empires qui ce sont créer on fait la guerre pour étendre leur territoire, de tout temps les personnes riches ont voulut encore plus d'argent pour être et rester le plus riche, ect....

Tu ne peut pas dire que ce n'est pas la nature humaine... T'es peut être pas avide d'argent, mais ont est tous avide de quelques chose, sinon ont se sent vide et on se laisse mourir. Ce sont nos envie qui nous font avancer.
Peut importe que tu juge t'es envie plus saine ou plus juste, au final c'est ça qui fait que tu va te battre pour affirmer ton point de vue. Et pour beaucoup tout ça, c'est gagner plus d'argent.
3  0 
Avatar de emilie77
Membre confirmé https://www.developpez.com
Le 29/01/2020 à 9:51
J'imagine l'IA de amazon avec nos données d'achat, du cloud, des magasins réels, des caméras ring...
Evil
1  0 
Avatar de Acheumeuneu
Membre habitué https://www.developpez.com
Le 29/01/2020 à 10:51
Les médias ont bien fait leur taf ! Les gens se sentent en insécurité permanente à en devenir paranoïaque, des sociétés comme Amazon n'ont plus qu'à se baisser pour ramasser l'argent de cette peur en vendant du matos estampillé "1984". Et en même temps (ouais ! Elle est facile celle-là !) à force d'écouter les autres au lieu de penser par soi-même, on devient forcément une marionnette du système. Il n'y a qu'à voir les réactions de personnes sur le coronavirus chinois, c'est à mourir de rire !
0  0 
Avatar de MRSizok
Membre actif https://www.developpez.com
Le 29/01/2020 à 10:53
Comme dit Ryu2000 : "T'as encore rien vu".

Il y a eu déjà une news pas trop veille sur l'utilisation abusive de ce matériel Amazone au sein de leur propre secteur d'activité. Ici, on est que dans la continuité du problème.

C'est un peu comme les bonbons avec un dérivé du Titane dedans. Un article parle du fait que ce genre de bonbon sera interdit. Mais au final, l'industrie à déjà deux molécules transformer d'avance aussi nocives. Tout les gros groupes savent quand ils vont à l'encontre de la loi. Ils ont des services qui servent qu'à ça. Et le pire c'est qu'ils feront comme tout les prisonniers. Ils vont nier en bloque jusqu'à que tu leur prouve A+B qu'ils ont fait exprés.

Donc le futur c'est quoi? Une maison avec un serveur physique avec vos données personnels? Qu'on fait migrer au fil des déménagements en passant par le cloud privé? Car, perso je vois que ça en solution. C'est que vos données privées soit chez vous et que toute informations récupérer depuis celui-ci sans votre accord serait une attaque et une atteinte à votre vie privée.

Ou moins d'addiction à la technologie et l'image de réussiste qu'elle véhicule pour vous la vendre?

Bref, c'est pas prêt de s'arrêter et on aura toujours ce genre de News pour nous rappeller la nature humaine réel.
0  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 29/01/2020 à 11:16
Citation Envoyé par MRSizok Voir le message
Bref, c'est pas prêt de s'arrêter et on aura toujours ce genre de News pour nous rappeller la nature humaine réel.
Je ne pense pas que ça ait rapport avec la nature humaine, ça a plus rapport avec la nature des grosses multinationales qui veulent gagner le plus d'argent possible pour faire plaisir aux actionnaires.

Citation Envoyé par Stéphane le calme Voir le message
« Nos tests, qui se sont appuyés sur Ring pour Android version 3.21.1, ont révélé la livraison de PII à branch.io, mixpanel.com, appsflyer.com et facebook.com. Facebook, via son API Graph, est alerté lorsque l'application est ouverte et sur les actions de l'appareil telles que la désactivation de l'application après le verrouillage de l'écran en raison de l'inactivité. Les informations fournies à Facebook (même si vous n'avez pas de compte Facebook) comprennent le fuseau horaire, le modèle d'appareil, les préférences linguistiques, la résolution d'écran et un identifiant unique (anon_id), qui persiste même lorsque vous réinitialisez l'ID d'annonceur au niveau du système d'exploitation.
Les entreprises achètent et vendent les informations des utilisateurs entre elles.
Avec beaucoup de données on peut faire du Big Data (qui a été utilise pour l’élection de Macron par exemple).
En récupérant les informations personnelles d'un grand nombre de personne on peut leur dire ce qu'ils veulent entendre, ou leur vendre ce qu'ils veulent acheter.
0  0 
Avatar de Jon Shannow
Membre extrêmement actif https://www.developpez.com
Le 29/01/2020 à 13:23
Citation Envoyé par Ryu2000 Voir le message
Mouais, mais ils ne sont pas représentatif de l'ensemble. La plupart des humains en ont strictement rien à foutre des actions et n'en possèdent pas.
0  0 
Avatar de MRSizok
Membre actif https://www.developpez.com
Le 29/01/2020 à 13:37
Pour information, Amazone c'est certainement plus de 613k de personnes qui travail. (J'ai pas de sources récentes. La plus fraiche que j'ai en visu est 613K ). Avec un PDG qui serait publiquement le plus riche au monde, avec toute l'influence qui ce doit.

Si j'ai bien compris, les actionnaires ne peuvent pas décider de la direction à prendre, sauf "comme dans les films" si une personne ou une entité est actionnaire majoritaire. A ce moment là ta un véto.
Bref, tout ça pour dire que ta un humain qui a une idée, bonne ou mauvaise, et que ça va passer dans différents services, d'où la vente des données (sauf s'il y a eu d'entrée l'idée), et que tout ça c'est validé par un autre groupe d'humain super représentatif de l'entité Amazone et de son PDG avec toute les valeurs que ça incombe. Donc, si demain une invention part en cacahuet on ira pas voir une brique de lait ou des actionnaires. Mais bien le PDG.

Je suis sûr que je pouvais faire plus explicite. Mais franchement. Ryu je taime. J'ai pas envie de sortir la feuille de papier et les crayons de couleurs. (désolé, j'adore blaguer)
0  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 29/01/2020 à 13:38
Citation Envoyé par lvr Voir le message
Et sa soif malseine d'argent et de pouvoir.
Ça concerne ceux qui sont dans le trip capitaliste. Ça n'existe pas depuis des millénaires et ça n'existera peut-être pas pour toujours. L'intégralité des humains ne sont pas obsédé par l'argent.
Le capitalisme, le besoin d'enrichissement personnel, ça ne fait pas partie de la nature humaine. Il y a juste des humains qui ont été perverti par le capitalisme.

Il aurait fallut formuler la phrase autrement, par exemple : si la nature à moins de place, si les courants d'eau sont pollués, si l'air est pollué, si plein d’espèces disparaissent, c'est de la faute aux humains car ils ont laissé le pouvoir à n'importe qui. Ils ne font pas parti activement du problème ils ont juste laisser-faire.
Enfin bref c'est du détail, ce qui est certains c'est que de nombreuses grosses entreprises n'ont aucune éthique et sont prêtent à tout pour augmenter leur profit. Donc elles continueront à acheter et à vendre des informations personnelles et les consommateurs leur donneront de plus en plus d'infos.
1  1