Les voitures connectées sont un « cauchemar » pour vos données personnelles, selon Mozilla
Les voitures modernes sont des passoires à données privées. La fondation Mozilla s'est intéressée à la manière dont 25 fabricants géraient les informations de leurs utilisateurs. Le résultat est loin d'être brillant étant donné que toutes les marques écopent d'un avertissement, une première sur les sept années d'analyses de produits divers réalisées par Mozilla.
La fondation a scruté la politique de gestion des données personnelles et les éventuelles failles de sécurité de grandes marques automobiles dans cinq pays : les États-Unis, l'Allemagne, le Japon, la France et la Corée du Sud. Ses chercheurs ont passé environ 600 heures à lire les documents contractuels, à télécharger les applications des constructeurs et à discuter avec les marques.
L'étude révèle que des marques connues comme BMW, Ford, Toyota, Tesla, Kia ou Subaru peuvent récolter tout un tas de données sur leurs utilisateurs, comme leur origine, leur expression faciale, leur poids, l'endroit où ils se rendent et même leur activité sexuelle (!). Tout cela est collecté à l'aide des différents capteurs et micros intégrés dans les véhicules, mais aussi via les caméras, les apps ou les appareils connectés. « Les marques automobiles peuvent utiliser une grande partie de ces données pour tirer des conclusions sur l'intelligence, les capacités, les caractéristiques, les préférences, etc. d'un conducteur », écrit Mozilla.
La fondation affirme que Nissan est le plus mauvais élève : non content de récolter tout un tas de données sensibles (dont un diagnostic de santé), le constructeur japonais indique pouvoir vendre les « préférences, caractéristiques, tendances psychologiques, prédispositions, comportements, attitudes, capacités et aptitudes » des consommateurs à des courtiers en données. Il peut aussi les partager avec les forces de l'ordre ou d'autres tiers. Mozilla pointe également du doigt Volkswagen, Toyota, Kia et Mercedes-Benz, ce dernier livrant certains véhicules avec une application TikTok préinstallée.
Tesla est la marque la plus mal classée de l'étude, se faisant recaler dans toutes les catégories de protection de la vie privée. Le fabricant ne brille pas par sa gestion des données : il a été révélé que des employés s'échangeaient des vidéos de clients entre 2019 et 2022, tandis que les Tesla Files ont récemment mis en évidence de graves manquements au niveau de la confidentialité.
Les « Tesla files » révèlent la gestion catastrophique des données privées par le constructeur
Des employés Tesla auraient partagé entre eux les vidéos enregistrées par les voitures
Aucun des constructeurs ne répond aux normes de sécurité minimales de Mozilla. Les chercheurs n'ont pas pu confirmer si les marques étudiées chiffraient toutes les informations personnelles qu'elles stockaient sur les véhicules. Seul Mercedes a daigné répondre aux questions de Mozilla à ce sujet. Renault est le fabricant le moins problématique du lot, ce que Mozilla met sur le dos du fait que le constructeur doit respecter le RGPD.
En théorie, la législation européenne devrait empêcher la récolte de certaines données sensibles citées ci-dessus comme l'origine ethnique ou les données liées à la santé. En pratique, c'est un peu plus compliqué que cela. « Le RGPD est une bonne chose sur le papier, mais il manque d'outils pour le faire appliquer », nous a confié le chercheur de Mozilla Misha Rykov.
Il nous a notamment incités à jeter un coup d'œil sur la politique de confidentialité de Toyota relative aux caméras de ses véhicules. Le constructeur explique qu'il peut collecter des données à partir de caméras embarquées, ce qui va dans l'intérêt de la sécurité publique étant donné que cela permet d'améliorer son système et donc d'éviter des accidents. Il affirme donc que cet aspect l'emporte sur la protection de la vie privée prévue par le RGPD.
Dans la mesure où nous traitons des catégories particulières de données à caractère personnel (qui relèvent de l'origine raciale ou ethnique, des opinions politiques, des convictions religieuses ou philosophiques, de l'appartenance syndicale, des données génétiques […]), ce traitement est nécessaire à des fins de recherche scientifique et notre intérêt à traiter ces données l'emporte largement sur celui de la personne concernée dans le non-traitement des données du RGPD.
La fondation conclut que les voitures sont « la pire catégorie de produits » qu'elle a jamais examinée en matière de protection de la vie privée, derrière les apps de santé mentale et les fabricants de sex toys. Au total, 84 % des marques étudiées peuvent partager les données de leurs clients, et 76 % disent pouvoir les vendre. Le marché est énorme : en 2016, un rapport estimait que la monétisation des données automobiles pourrait représenter un secteur d'activité de 750 milliards de dollars d'ici 2030. Ne reste plus qu'à attendre une éventuelle Apple Car venant chambouler tout cet écosystème.
Que fait la Commission européenne ?
@Giloup92
Ben la Commission ne tient pas la jambe à toutes les entreprises de l’Union… toi même tu t’en doutes bien
Oui, mais la Commission aime bien le buzz médiatique. Ce serait un sujet en or pour elle.
@Giloup92
Oui mais certains ici vont venir demander si la commission n’a pas que cela a faire ?
Qu’elle fasse ou pas y’en a toujours pour se plaindre, même quand cela va dans l’intérêt des usagers 🤷♂️
@CorbeilleNews
Exactement , il faut râler coûte que coûte
@Giloup92
Trop occupée à forcer Apple à adopter RCS et l’USB-C.
@Yoshi_1
LOL
@Giloup92
elle va forcement se saisir de ce sujet vu le buzz. Le truc c que le RGPD est au moins contourné dans certains cas, il va pas falloir grand chose pour assigner ces sociétés en justice et ca va douiller
@Giloup92
L’article ne le précise pas, mais Mozilla oui. L’étude porte sur les politiques de confidentialité américaines, et il est précisé plusieurs fois que les Européen et Californiens ne sont pas forcément concernés.
Ce qui ne veut pas dire non plus que tout va bien, mais il faut se palucher les politique de chaque constructeur pour savoir ce qu’il en est.
@Giloup92
Étonnant non ?!
Ça devient surtout le mouchard parfait…
et on peut parler de la possibilité d'avoir un hacker qui contrôle son véhicule , on voit pas mal de dystopie sur ce sujet et c'est effrayant...
surtout que ces machines ont des failles
@Dimemas
Tout ce qui est connecté et hackable…on en reviendra du tout connecté…
Ce qui m’amuse, ce sont les fans de l’iphone et sa « sécurité » sur les données personnelles et qui sont propriétaires d’une Tesla, le pire élève en la matière 😉
@pagaupa
justement, je l’attendais à voir Tesla dans le haut du panier des mauvais élèves et l’étude dit clairement le contraire.
@gwen
On a pas du lire la même chose… « Tesla est la marque la plus mal classée de l'étude, se faisant recaler dans toutes les catégories de protection de la vie privée. Le fabricant ne brille pas par sa gestion des données »
@sebas_
Ok. J’ai vraiment mal compris à la première lecture apparement. Sorry.
Il faudrait que la protection de la vie privée devienne un argument de vente. Renault va dans le bon sens en respectant le mieux le Droit RGPD, mais si ce fabricant peut mieux faire.
Pour les autres constructeurs, dire que c’est honteux relève de l’euphémisme 🤬🤬🤬. Il n’y a pas de mot assez dur pour qualifier leur attitude arrogante.
Ahurissant !
@sambucus
Si seulement ils produisaient des vrais voitures qualitatives 😅
En effet, il existe le RGPD mais il ne fait pas le poids face aux intérêts financiers des assureurs qui seront les premiers clients des brokers de ces données afin d'ajuster la prime en fonction de votre profile de risque déterminé par le véhicule.
En outre, cela restera aussi bien pratique pour empêcher le démarrage de votre VE (plus difficile sur les thermique, mais pas foncièrement impossible non plus) si vous avez eu l'outrecuidance de rouler un peu plus qu'autorisé par votre futur quota.
Petit à petit nous allons vers la société du crédit social.
des assureurs qui seront les premiers clients des brokers de ces données afin d'ajuster la prime en fonction de votre profile de risque déterminé par le véhicule.
Ce type de contrat d'assurance existe déjà. Vous n'imaginez pas le futur, vous parlez juste du présent (voir du passé vu que les offres existent déjà depuis un moment)...
@zearno
"En effet, il existe le RGPD mais il ne fait pas le poids face aux intérêts financiers des assureurs qui seront les premiers clients des brokers de ces données afin d'ajuster la prime en fonction de votre profile de risque déterminé par le véhicule."
quand la premiere duille vz tomber sur un des constructeurs, tout à coup le RGPD fera le poids vu les amendes encourues
@sambucus
Un privacy-score a mettre en place !
@sambucus
Renault... C'est bien le constructeur auto qui a décidé que l'informatique c'est trop compliqué et donc Renault file les clés à une gentille entreprise philanthropique nommée... Google pour Android Automotive.
Et pas besoin de s'inquiéter sur la capacité qu'à Google de cacher les données remontées des véhicules car il n'y a que les données qui font vivre Google 😏😳
@dorninem
oui comme 90% des contructeurs
Je garde mon C15D 😁
aaaaaaah le c15 ^^
Deux copines discutent :
"- J'ai dit à mon mec que j'aimerais un petit cadeau qui dure toute la vie...
- Et alors ?
- Il m'a offert un C15".
😝
@fredsoo
+1 👍 et moi ma Simca 1000 🥳
Combien de gens ont installé l’appli facebook/insta/tiktok qui fait exactement la même chose ?
@ohmydog
"Combien de gens ont installé l’appli facebook/insta/tiktok qui fait exactement la même chose ?"
————
Si tu ne la vois pas, il existe tout de même une petite nuance entre une décision personnelle et individuelle à l’usage des réseaux sociaux et la collecte, le traitement et la revente de données issues d’une démarche ni personnelle ni individuelle.
@MarcMame : oui, évidemment !
Je m'agace contre ce genre de remarque qui traduit une méconnaissance des mécanismes de collecte et surtout qui ne différencient pas acceptation consentie et vol de données. J'entends souvent ce genre de chose, de même que, dans un autre registre, "mes données n'ont rien de sensible".
Il y a du boulot à faire encore en termes d'information sur les tenants et aboutissants du numérique (je précise que je ne cible pas l'auteur mais sa remarque !)
Il aurait été intéressant de prendre en compte les voitures chinoises qui déferlent en Europe…
@lesurfeurfou
Et on se doute vu d’où elles viennent qu’elles doivent être de bons aspirateurs à données personnelles !
Je crois qu'on peut d'ores et déjà connaître les conclusions sans même faire d'étude, donc on gagne du temps !
AHAHAHAHAH
par contre tesla qui est une entreprise américaine rien du tout ?
sont gentils les américains hein ? ils ne prennent pas nos données perso XD
https://www.numerama.com/vroom/1331872-des-employes-de-tesla-espionnent-les-images-des-cameras-des-vehicules-pour-se-divertir.html
@Dimemas : justement, ils prennent tout, donc on sait que les Chinois aussi. Vous n'avez pas dû comprendre le sens de ma remarque : si les marques citées se permettent ça, les chinoises aussi, voire encore plus.
Jamais on ne dit que les Américains sont des anges en la matière il me semble, et d'ailleurs c'est l'objet de l'article en partie !
Peut-être que les constructeurs automobiles sont les pires mais chaque boîte tentera de maximiser nos données. Et puis je vous raconte pas depuis que l'on est passé au Cloud, là on est carrément en mode "buffet à volonté".
Je crois que même ceux qui disaient "ouai je m'en fiche que les Gafams sachent tout sur moi, j'ai rien à cacher" commence à réaliser jusqu'où ça peut aller. Faîtes des extrapolations au niveau de la santé, des assurances, voire des services et ça peut donner le vertige,
@Glop0606
"depuis que l'on est passé au Cloud, là on est carrément en mode "buffet à volonté"."
Pas forcément.
@Yoshi_1
Tant qu’il y aura autre chose que le nuage et par wifi pour sauvegarder
Tiens justement il y en avait pour qui le câble ne sert plus a rien 🤷♂️
@CorbeilleNews
"Tant qu’il y aura autre chose que le nuage et par wifi pour sauvegarder"
Pas forcément non plus. C’est pas parce que c’est sur le nuage que l’hébergeur a forcément accès, si le chiffrement des données est réellement de bout en bout. Si la clé de récupération fournie à l’utilisateur est perdue (qui est donc une clé de déchiffrement, mais pas besoin de vous le préciser), l’hébergeur ne pourra rien faire. Alors oui un jour ou l’autre le chiffrement RSA sera forcément cassé. Mais d’ici là d’autres algorithmes encore plus efficaces existeront j’imagine.
Si je me trompe, je veux bien une explication, mais pour moi il y a des acteurs qui proposent le chiffrement de bout en bout de la grosse majorité des données stockées, dont Apple depuis quelques mois. J’ai pas trop regardé si d’autres hébergeurs proposaient cela, mais je suppose que oui.
"Tiens justement il y en avait pour qui le câble ne sert plus a rien 🤷♂️"
Un transfert sans fil n’implique pas nécessairement un transit par des serveurs externes. Donc oui je fais partie de ceux qui souhaitent la disparition complète du câble.
Alors oui un jour ou l’autre le chiffrement RSA sera forcément cassé.
Ce n'est probablement pas du RSA, c'est très peu performant (surtout pour déchiffrer/signer).
Si je me trompe, je veux bien une explication, mais pour moi il y a des acteurs qui proposent le chiffrement de bout en bout de la grosse majorité des données stockées, dont Apple depuis quelques mois.
Le chiffrement de bout en bout n'est valable que si c'est toi qui choisit le soft qui va chiffrer/déchiffrer (idéalement un soft open-source), qui choisit et gère la clé. Si ces tâches sont dévolus à un acteur qui fait tout de façon transparente, alors les "bouts" ne sont pas toi mais l'acteur en question.
@bibi81
"qui choisit et gère la clé"
Bof, je suis pas trop d’accord sur ce point. Si la clé est générée aléatoirement par l’appareil initial, je ne vois pas en quoi c’est différent. D’autant que si on laisse l’utilisateur taper sa clé de secours, on va revenir au point de départ avec des utilisateurs qui vont mettre « azerty1234 » ou « medor2007 »…
Pour le reste oui, d’accord… mais c’est pas parce qu’un fournisseur a un algorithme de chiffrement que ça lui permet forcément de déchiffrer. Les algorithmes de chiffrement sont asymétriques.
Effectivement, ça me fait penser que le jour ou l'ordinateur quantique deviendra exploitable, il faudra revoir tout les protocoles de sécurités qui deviendrons d'un coup obsolètes
J'ai par exemple "inactivé" la caméra intérieure de ma Tesla.
A aucun moment je ne me souviens avoir donné au constructeur l'autorisation d'avoir un oeil braqué sur moi quand je suis dans la voiture. Du coup, il est bien facile de la rendre inopérante.
Pour le reste, tout est de la responsabilité des législateurs et de leurs électeurs ! Il faut savoir ce que vous voulez. Plus de régulation ? Les uns diront que c'est "liberticide". Et surtout, personne ne veut payer pour faire appliquer les régulations, qui ont un coût. C'est bien beau de vouloir faire la guerre aux exploiteurs de données mais ces derniers sont très riches, donc les combattre coûtera très cher.
Moins de régulation ? Plus de libéralisme ? Les autres diront que c'est la jungle, et les truands y feront bombance... Votre pseudo liberté sera lucrative !
Ce sont des choix politiques qui influenceront nos vies 24-7. En fin de compte, on a ce qu'on mérite ! Pour ça, pour le "climat", et pour tout le reste.
C'est vrai, mais qu'on veuille de la liberté ou non, on veut surtout être au courant des pratiques et donner son autorisation ou la refuser...
On peut obliger les fabricants à demander le consentement, et les sanctionner s'ils ne respectent pas le choix des utilisateurs. C'est ça le Droit. Le côté "liberticide" ne doit pas occulter le côté "abusif".
@smog
je suis d'accord, mais dans un monde de plus en plus polarisé qui ne connait que le noir ou le blanc et méprise toute forme de nuance (ou d'intelligence), les choix sont souvent brutaux. Et je doute que ça s'améliore.
@Dr. Kifelkloun : on est bien d'accord.
J'ajoute pour compléter que si les fabricants se permettent ça, c'est aussi parce que pour la plupart des "cibles", c'est-à-dire l'individu moyen, ça n'est pas grave ou pas gênant.
@Dr. Kifelkloun
Exactement, et quand on voit ou entend le discours de certains qui votent…
@Dr. Kifelkloun
Désactivée comment ?
Car si c’est en mettant un obturateur dessus c’est pas vraiment désactivée mais masquée
Merci de votre retour
@CorbeilleNews
J'avais mis inactivé entre guillemets car, effectivement, je l'ai obturée avec un tout petit patch adhésif noir. Ça passe totalement inaperçu. La caméra n'est pas inactivée mais elle n'a plus rien à voir.
Tesla mérite une bonne class action (une de plus). Et je ne vois pas en quoi la caméra intérieure peut être un élément de sécurité.
Pages