Les images captées par la caméra Dekoda sont lisibles par son constructeur, Kohler. C’est déjà un problème de confidentialité en soi, mais ce qui est pire c’est que cet appareil s’installe… sur la cuvette des toilettes ! Elle sert en effet à analyser les selles et renseigne sur la santé intestinale du propriétaire.
Évidemment, lancer un tel produit est un petit peu délicat, car il touche à ce qu’on a de plus personnel. C’est pourquoi le fabricant Kohler avait pris soin de préciser que les capteurs de sa caméra Dekoda ne filment que l’intérieur de la cuvette des toilettes, et que les données sont protégées par un chiffrement de bout en bout (E2EE). Autrement dit : ces informations ne sont accessibles qu’à l’utilisateur, et personne d’autre.
La promesse de confidentialité part dans les toilettes
Sauf que ce n’est pas du tout le cas. Le chercheur en sécurité Simon Fondrie-Teitler a en effet découvertque Kohler employait ce terme de manière inappropriée. En réalité, l’entreprise utilise du chiffrement TLS pour les données en transit entre l’app et le serveur (la même protection que n’importe quel site web en HTTPS), et du chiffrement au repos sur les appareils de l’utilisateur, l’accessoire et les serveurs de Kohler.
Ce n’est pas du chiffrement de bout en bout : Kohler peut déchiffrer et consulter les données une fois qu’elles arrivent sur ses serveurs. À la différence de WhatsApp, Signal ou iMessage, le fabricant a toujours en sa possession une clé de la chaîne, ce qui lui permet d’accéder aux images et métadonnées. Et l’entreprise l’a confirmé par email : les données sont déchiffrées côté serveur pour être traitées.
« Nous avons conçu nos systèmes et nos processus de manière à protéger les images identifiables contre tout accès par les employés de Kohler Health, grâce à une combinaison de chiffrement des données, de mesures techniques et de mécanismes de gouvernance », indique la société. Fort bien, mais ce n’est toujours pas du chiffrement de bout en bout !
Reste à savoir ce que Kohler fabrique avec ces images. Simon Fondrie-Teitler soupçonne qu’elles sont exploitées pour alimenter un modèle IA. Pour pouvoir utiliser la caméra Dekoda et le service lié, le client doit accepter les conditions d’utilisation qui confèrent à Kohler le droit de se servir des données pour rechercher, développer et améliorer ses produits et ses technologies. Des données qui sont anonymisées, et qui peuvent également être utilisées pour « promouvoir notre activité et entraîner nos modèles d’IA et d’apprentissage automatique », selon la politique de confidentialité.
Kohler emploie donc un vocabulaire pour le moins trompeur qui induit les utilisateurs en erreur. Le risque majeur n’est pas un défaut technique, mais la promesse de confidentialité est brisée — plutôt embêtant pour un tel produit vendu la bagatelle de 600 $, avec en sus un abonnement à partir de 7 $ par mois…
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google Actualités, abonnez-vous à notre canal WhatsApp ou suivez-nous en vidéo sur TikTok.
Source :
TechCrunch