Nos assistants vocaux nous espionnent-ils vraiment ?

Question complexe, qui génère son lot de réponses alarmistes et de demi-vérités.

Voici les faits reconnus : les assistants vocaux comme le Google Home, l’Echo d’Amazon et le HomePod d’Apple sont constamment en mode écoute, mais n’envoient aucun enregistrement, en attendant le mot déclencheur, « OK Google », « Alexa » ou « Dis Siri ». Ils saisissent alors la demande, envoient l’audio aux serveurs de l’entreprise, où il est analysé, et se remettent en écoute passive.

Ce sont ces bouts d’enregistrement qui constituent l’« espionnage ».

Ils sont stockés et liés à un utilisateur précis, bien qu’Apple utilise un brouillage pour les rendre anonymes. Ils sont essentiellement utilisés pour améliorer la reconnaissance vocale et viennent enrichir le « profil » de l’utilisateur. Leur utilisation pour la publicité ciblée n’est pas démontrée. Précisons ici qu’il s’agit du même processus pour les téléphones intelligents ou tout appareil doté de reconnaissance vocale, comme un téléviseur.

« C’est clairement un risque, estime Sébastien Gambs, professeur en informatique à l’Université du Québec à Montréal (UQAM). La solution, ce serait que tout soit traité localement : c’est toujours mieux que les données restent chez l’utilisateur. »

Cela dit, ces assistants vocaux, dont le système est entièrement contrôlé par le fabricant, sont nettement moins à risque qu’un téléphone intelligent. Celui-ci a également un micro, mais dispose d’une caméra, envoie les coordonnées GPS et les courriels de son propriétaire et est pollué par des dizaines d’applications de sources parfois douteuses.

Les systèmes d’exploitation Windows et Android sont-ils plus vulnérables que les produits Apple, comme le veut une perception très répandue ?

La réponse courte : non. Rien dans la programmation de Windows ou d’Android ne les rend particulièrement vulnérables. « C’est vraiment une légende urbaine », dit Marc-André Léger, chargé de cours à l’Université Concordia, spécialiste en technologie de l’information. Windows et Android sont plus touchés par les cybermenaces parce qu’ils sont plus populaires, rappelle-t-il. « Si tu es un pirate, tu vas t’attaquer aux 90 % d’ordinateurs sur Windows et non aux 9 % sur Mac, à moins d’avoir une dent contre Apple… » Il estime qu’un antivirus est tout aussi nécessaire pour un MacBook que pour un PC roulant sur Windows 10.

Il y a une nuance, ajoute cependant Alexis Dorais-Joncas, chef d’équipe de renseignement de sécurité au bureau montréalais d’ESET : les applications Android offertes sur le Google Play Store sont moins bien contrôlées que les applications qu’on trouve sur sur l’App Store d’Apple. « Google est beaucoup plus permissif et les vérifications sont plus faibles. »

Comme bien des usagers, j’ai reçu dernièrement un courriel menaçant contenant un de mes mots de passe sur l’internet. Son auteur affirme avoir installé un virus sur mon appareil qui lui permet de me filmer et de voler mes mots de passe. Devrais-je m’inquiéter ?

Non, pas vraiment. Si le pirate avait vraiment quelque chose de compromettant, il vous en donnerait un aperçu, tout simplement.

« J’en ai reçu moi aussi, dit Marc-André Léger. Beaucoup de sites se font hacker : pensez à Yahoo et ses 3 milliards de comptes. Ces banques de données circulent, les pirates prennent une chance. Ce n’est pas individualisé, c’est un petit programme qui envoie des centaines de millions de courriels. »

Les pirates tablent sur le fait que bien des utilisateurs utilisent le même mot de passe partout sur l’internet. « C’est vraiment ingénieux, ça frappe l’imagination, dit Alexis Dorais-Joncas. C’est très ‟low tech” comme attaque, ils acquièrent des bases de données piratées et vont à la pêche. »

Le monde des cyberpirates est plutôt spécialisé : certains sont des pros pour percer les défenses des serveurs, d’autres vont tenter de rentabiliser l’opération. Si la première partie est relativement facile, la seconde demande plus de temps et d’attention si on veut s’attaquer à une personne en particulier. D’où l’intérêt de ces envois de masse, qui peuvent être rentables si une infime fraction des internautes interpellés tombent dans le piège.

Quelle est la plus grande menace en 2018 en cybersécurité ?

La controverse entourant Facebook, les inquiétudes concernant la confidentialité des tonnes de données récoltées par les géants du web ont de toute évidence marqué l’actualité en 2018. Même s’il ne s’agit pas d’une cybermenace classique comparable aux rançongiciels et à l’hameçonnage, deux de nos experts estiment que ce vaste domaine est la source principale d’inquiétude pour le commun des mortels.

« C’est une drôle de cybermenace : le danger n’est pas immédiat, mais la quantité d’information accumulée sur chacun me fait peur, dit Alexis Dorais-Joncas, d’ESET, qui commercialise l’antivirus du même nom. Toutes nos habitudes en ligne sont traquées, et ce n’est pas seulement Facebook ou Google, mais toutes les tierces parties. Le jour où on va voir des utilisations avec lesquelles on n’est pas d’accord, on risque de s’apercevoir que c’est irréversible. »

Dans le registre plus classique, l’année 2018 a été marquée par un phénomène relativement nouveau, le « cryptojacking », où des logiciels malveillants sont installés sur des millions d’ordinateurs qui minent des cryptomonnaies à l’insu de leur propriétaire.

Est-ce vrai que les antivirus peuvent parfois rendre nos ordinateurs encore plus vulnérables ?

Vous avez peut-être lu des résultats d’étude sur ce sujet inquiétant. Les antivirus disposent de droits privilégiés dans un système d’exploitation, ils peuvent pratiquement tout modifier et accéder à tous les fichiers. Quand ils ont des faiblesses, ils deviennent une porte d’entrée fabuleuse.

Chez ESET, Alexis Dorais-Joncas l’admet d’emblée. « Tout logiciel est à risque d’avoir des vulnérabilités, et on sait que tous les antivirus en ont. Ceci dit, quelqu’un qui peut monter une attaque exploitant une faille du type Zero Day dans un antivirus a nécessairement beaucoup de moyens, et il va cibler quelqu’un de très précis. Est-ce que ça va toucher tout le monde ? Non, ça vaut extrêmement cher. »

Autrement dit, pour le commun des mortels, l’installation d’un antivirus demeure un outil efficace pour prévenir les attaques les plus communes. Marc-André Léger apporte cependant une nuance : ces protections peuvent donner un faux sentiment de sécurité. Il ne s’agit que d’un aspect parmi d’autres de la cybersécurité, rappelle-t-il. « Les gens ne suivent pas les conseils, ça fait 10 ans qu’on en parle. »

A

n

t

i

v

i

r

u

s

Il existe sur le marché des logiciels antivirus gratuits très performants qui disposent d’une banque de données où figure la quasi-totalité des virus connus. Même quand la menace n’a pas encore été identifiée, ces antivirus peuvent détecter des activités anormales. En payant, on obtient généralement des fonctions supplémentaires comme le contrôle parental ou le chiffrement des données. 

Cyberhygiène

Ce néologisme regroupe plusieurs comportements souhaitables et ceux qui sont à éviter. Mettez à jour régulièrement vos systèmes et logiciels, ces ajouts visent généralement à corriger une faille de sécurité. Ne cliquez pas sur des liens louches contenus dans des courriels : prenez plutôt l’habitude de survoler un lien pour voir apparaître l’URL complet. Ne téléchargez jamais des documents ou des logiciels en pièce jointe si vous n’êtes pas sûr de l’expéditeur. Et effectuez des copies de sauvegarde de vos données, les rançongiciels ne pourront plus vous toucher.

Internet des objets

Il s’agit du maillon faible de la sécurité informatique. Ces milliards d’objets connectés sont souvent faciles à infecter et, pire, sont souvent utilisés avec les mots de passe par défaut. Il est difficile de nous assurer que les entreprises derrière notre thermostat intelligent, notre ampoule WiFi, nos caméras internet, nos routeurs et nos imprimantes respectent les bases de la cybersécurité. Trois solutions pour compliquer la vie des pirates : changer les mots de passe par défaut, mettre à jour les pilotes et opter pour des routeurs fiables, dotés d’antivirus qui peuvent surveiller votre réseau. 

Mots de passe

L’utilisateur moyen doit gérer une trentaine de mots de passe, et la tentation est grande d’utiliser le même partout ou de choisir des classiques comme 123456. Il s’agit d’une grave erreur, qui explique pourquoi le piratage d’un seul site peut en contaminer des dizaines d’autres. La meilleure solution : un gestionnaire de mots de passe. « Je le conseille les yeux fermés », dit Alexis Dorais-Joncas, de la firme d’antivirus ESET. Outre son propre logiciel, il recommande KeePass et Password Safe. LastPass, selon notre expérience, est également à recommander.

Vie privée

C’est une nouveauté que d’inclure cet aspect dans la cybersécurité, mais il est maintenant incontournable : on laisse trop de données confidentielles sur l'internet entre les mains de trop d’entreprises. La première solution est évidente : être plus avare de ses informations. Sébastien Gambs, professeur d’informatique à l’UQAM, recommande d’ajouter des extensions à son navigateur pour mieux contrôler les traces qu’on laisse. Enfin, il faut aller là où très peu d’internautes s’aventurent, dans les réglages de confidentialité des services comme Facebook et Google.