Selon une récente plainte de la FTC, les employés d’Amazon Ring et un prestataire tiers en Ukraine avaient la possibilité de visionner, télécharger, sauvegarder et partager toutes les vidéos de clients, même lorsqu’il ne s’agissait pas d’une nécessité pour leur travail.
Un accès abusif aux données clients
La FTC a souligné qu’avant juillet 2017, chaque employé de Ring avait accès à toutes les vidéos de tous les clients. Ce droit d’accès a parfois été abusé. Par exemple, un employé de Ring a visionné des milliers de vidéos de 81 utilisatrices différentes, recherchant des flux de caméras dans des zones privées comme la “Chambre principale”, la “Salle de bain principale” ou encore le “caméra espion”.
Violation de la confidentialité : une pratique courante ?
Entre juin et août 2017, cet employé a passé au moins une heure par jour à regarder les vidéos sur plusieurs centaines d’occasions. Lorsqu’un autre employé a signalé ce comportement à son superviseur, ce dernier a prétendu qu’il était “normal” pour un ingénieur de consulter autant de comptes.
Une réglementation tardive de l’accès aux vidéos
Suite à cet incident, en septembre 2017, Ring a restreint les droits d’accès de ses employés, exigeant le consentement des clients pour que les agents du service client puissent accéder à leurs vidéos. Cependant, Ring a continué d’accorder l’accès à toutes les données vidéo à des centaines d’autres employés et entrepreneurs tiers, qu’ils en aient réellement besoin pour leur travail ou non.
D’autres cas d’abus d’accès
En janvier 2018, un employé masculin a utilisé ses droits d’accès pour espionner les vidéos d’une collègue féminine, la recherchant par son adresse e-mail.
Une politique de sécurité laxiste
La FTC reproche également à Ring de ne pas avoir mis en place des mesures de sécurité de base pour protéger les utilisateurs contre des menaces telles que le stuffing de credentials et les attaques de force brute, malgré les avertissements des employés et des chercheurs en sécurité externes.
Mauvaises pratiques et conséquences
En raison de ces pratiques défectueuses, Ring a subi plusieurs incidents de sécurité. Entre janvier 2019 et mars 2020, la FTC allègue que plus de 55 000 clients ont vu leurs appareils Ring compromis. Dans certains cas, des cybercriminels ont utilisé la communication bidirectionnelle pour terroriser les clients de Ring, comme dans un film d’horreur.
Sanctions et réparations
Amazon Ring employees were able to access every single customer video, even when it wasn’t necessary for their jobs.
All videos were stored unencrypted on Ring’s network.
And, unsurprisingly, some employees abused that access. 👇 https://t.co/dR0HJ7pWu1
— Malwarebytes (@Malwarebytes) June 2, 2023
En conséquence de ces mauvaises pratiques, Amazon fait face à une amende de 4,7 millions d’euros environ (5,8 millions de dollars).
De plus, Ring a été ordonné de supprimer toutes les vidéos de clients et les données collectées à partir du visage d’un individu, connues sous le nom de “face embeddings”, que Ring a obtenues avant 2018. Ring doit également supprimer tout produit dérivé de ces vidéos.
La protection de la vie privée des enfants en question
Parallèlement à cette affaire, Amazon a accepté de payer une amende de 20,5 millions d’euros environ (25 millions de dollars) pour avoir manqué à ses obligations de protection de la vie privée des enfants. Le département de la justice a déposé une plainte et proposé un règlement au nom de la FTC.
La plainte allègue qu’Amazon a conservé des informations vocales et de géolocalisation associées à de jeunes utilisateurs pendant plusieurs années, tout en empêchant les parents d’exercer leurs droits pour supprimer les données de leurs enfants, en vertu de la règle du Children’s Online Privacy Protection Act (COPPA).
Des données précieuses pour Amazon
La FTC a souligné que les modèles de parole des enfants diffèrent considérablement de ceux des adultes. Par conséquent, les enregistrements vocaux d’Alexa auraient fourni à Amazon un ensemble de données précieux pour entraîner l’algorithme d’Alexa et développer de nouveaux produits.
En plus de l’amende de 20,5 millions d’euros, Amazon sera interdit d’utiliser les informations vocales et de géolocalisation des enfants pour créer ou améliorer un produit de données. Amazon devra également supprimer les comptes enfants inactifs sur Alexa et informer les utilisateurs de l’action du gouvernement contre l’entreprise ainsi que de ses pratiques de rétention et de suppression.
De plus, Amazon devra mettre en œuvre un programme de confidentialité pour régir son utilisation des informations de géolocalisation.
Je suis Samuel Le Goff, à la tête de Menow.fr et père de deux enfants. À 38 ans, je navigue dans l’univers de l’informatique depuis plus de 14 ans, me spécialisant récemment dans le contenu high-tech et le gaming. Ma mission ? Partager des conseils pratiques et des insights en technologie, avec une touche d’honnêteté et d’authenticité, comme si je m’adressais à des amis.