Électroménager : des espions nouvelle génération

Les associations de consommateurs ont commencé à alerter le grand public sur les risques concernant les données des utilisateurs d’électroménager connecté. Le développement technologique et la miniaturisation toujours plus poussée des appareils électroménagers font peser des risques importants sur la confidentialité des données personnelles des consommateurs. 

Faudrait-il se méfier des friteuses ? L’affaire a de quoi prêter à sourire. Elle est pourtant prise très au sérieux par les autorités. Le 5 novembre 2024, l’association de consommateurs britannique Which? a publié une étude dans laquelle elle alerte sur certains modèles de friteuse très prisés : les Airfryer. Popularisés via les réseaux sociaux et particulièrement la plateforme chinoise TikTok, ces appareils proposent une cuisson sans huile à l’aide d’air chaud. Toutefois, derrière plusieurs de ces modèles de robots de cuisine innovants, se cachent des systèmes de captation de données. 

Trois types d’appareils ont été identifiés comme intégrant ce dispositif intrusif : les appareils des marques chinoises Xiaomi et Aigostar et le modèle de la marque américaine Cosori. Xiaomi intègre, via l’application rattachée à la friteuse à air, des trackers à destination de Facebook, Pangle (le réseau publicitaire de TikTok) et Tencent, le géant chinois de la tech. Aigostar utilise le même procédé en demandant le sexe et la date de naissance de l’individu à la création d’un compte propriétaire, mais de manière facultative. Les friteuses de ces marques ont bel et bien envoyé les données personnelles de leurs utilisateurs sur des serveurs localisés en Chine sans aucune transparence. Néanmoins, la nature des informations transmises reste floue, d’autant que les trois produits testés demandent l’autorisation d’enregistrer l’environnement sonore sur le téléphone de l’utilisateur, sans raison précise. Par ailleurs, les trackers collectent les données de localisation, les habitudes de navigation sur Internet et les centres d’intérêt.  

Une collecte massive des données

Plus généralement, le rapport de Which? dénonce une collecte abusive des données des utilisateurs d’outils connectés. C’est le cas pour la montre connectée Ultimate de Huawei qui nécessite un consentement au traitement des données de l’utilisateur pour fonctionner correctement. Ce traitement touche à l’accès aux fichiers stockés, aux autres applications mais aussi à la géolocalisation précise et à l’enregistrement audio. 

Des cas analogues ont été relevés par l’association concernant les montres intelligentes WeurGhy et Kuzil, très populaires sur Amazon. Cette fois-ci, la pratique est plus agressive. En effet, les fonctions intelligentes de la montre ne fonctionnent pas en cas de refus de l’utilisateur de partager ses données. Du côté des haut-parleurs, l’application Bose Home Portable combine de nombreux trackers reliés à Google, Facebook mais aussi Urbanairship, une société de marketing digital. Mais Which? révèle une faille dans le recueil du consentement des utilisateurs de l’application. 

Sur l’ensemble des produits testés, Which? met en évidence une collecte excessive des données des utilisateurs, le tout avec très peu de transparence sur leur utilisation. Ces pratiques, dénoncées depuis plusieurs années, se couplent à une absence croissante de vigilance des utilisateurs. L’entrée en vigueur en 2018 du Règlement Général de Protection des Données (RGPD) oblige les entreprises à recueillir le consentement de leurs utilisateurs au traitement de leurs données. Néanmoins, l’insuffisance de sensibilisation et de transparence ne permet pas de protéger suffisamment le consommateur. 

Quelles conséquences ?

Cette absence de vigilance avait déjà été pointée du doigt dès 2018. L’application Strava, une plateforme sportive permettant d’analyser les sorties jogging des utilisateurs pour obtenir des statistiques de course, avait alors été à l’origine d’une importante faille de sécurité. L’application cartographie le parcours du joggeur grâce à un bracelet GPS ou au service de localisation d’un smartphone. Les données recueillies peuvent ensuite être publiées sur la plateforme à la manière d’un réseau social. Or, Strava est très prisée des militaires. Il était donc possible de retrouver les trajets récurrents de ces derniers et de cartographier précisément des bases militaires. Ce fut le cas notamment pour la position française de Madama au Niger. La vulnérabilité avait conduit les autorités à limiter l’usage de l’application.

L’année suivante, l’enseigne Lidl se retrouve, elle aussi, plongée en pleine controverse. Après la commercialisation de son robot de cuisine, Monsieur Cuisine Connect fabriqué en Chine, des révélations indiquent la présence d’un micro au sein de l’appareil. Malgré le démenti de la marque assurant que celui-ci n’était pas actif, le robot possédait des failles de sécurité importantes que des hackers pouvaient aisément exploiter. Le jeudi 2 janvier 2025, l’entreprise Apple a accepté un règlement à l’amiable au différend dans lequel elle était impliquée. En 2019, le journal The Guardian révèle que l’entreprise écoute et enregistre les utilisateurs de ses appareils via son assistant vocal Siri. Par ce système, Apple souhaitait améliorer le service en demandant le consentement des utilisateurs au partage de leurs enregistrements audio, sous couvert d’une confidentialité totale. Les employés d’Apple interrogés avaient alors indiqué que l’anonymisation des données comportait des failles permettant d’identifier les utilisateurs écoutés. Après cinq années de procédure, la marque californienne a accepté le règlement d’une amende de 90 millions de dollars pour classer l’affaire. 

L’espionnage de la vie quotidienne par les objets connectés, même avec le consentement des utilisateurs, entraîne des failles de sécurité pouvant mettre à mal la souveraineté même d’un État. Il est facile d’imaginer les conséquences très concrètes de l’enregistrement audio d’un PDG du CAC 40, alors que celui-ci, dans sa cuisine, utilise son Airfryer sans soupçonner qu’il est écouté. Par-delà les questions de confidentialité, se posent aussi celles relatives au devenir et au lieu de stockage des données collectées. Malgré les démentis des entreprises visées et les allégations d’utilisation à des fins purement marketing, l’absence de transparence laisse place au doute sur la réelle utilisation de ces données. Le développement des appareils du quotidien de plus en plus connectés décuple les possibilités pour des opérations d’espionnage. L’ergonomie et le confort procurés par ces technologies high-tech ne doivent cependant pas faire oublier les risques qui les accompagnent. 

Grégoire Melin

Pour aller plus loin :