Un groupe de hackers veut protéger les utilisateurs d'objets connectés Nest de la voracité de Google en matière de données confidentielles. Tony Fadell, « père » de l'iPod et fondateur de Nest, a pourtant déclaré à plusieurs reprises qu'il n'avait pas l'intention de partager les données des propriétaires de son thermostat et de son détecteur de fumée avec Google, qui a racheté Nest en début d'année pour 3,2 milliards de dollars. Le doute demeure toutefois, le moteur de recherche ayant fait de la vente des informations confidentielles des internautes sa poule aux œufs d'or.
Personne n'est encore parvenu à pirater un thermostat Nest à distance, mais avec un accès physique au périphérique, il devient possible de pénétrer dans le système. Un groupe de chercheurs de l'université de Central Florida, mené par le professeur Yier Jin, a en effet découvert lors du démontage d'une unité qu'ils pouvaient prendre possession de l'appareil lorsqu'il démarre; les données peuvent alors être « siphonnées » en toute discrétion.
Le périphérique, qui ne demande pas l'autorisation (pas d'option dans les réglages) envoie tous les mois aux serveurs de la maison-mère un listing contenant les réglages, les températures et les informations rentrées par l'utilisateur. Ces données n'ont rien de sexy de prime abord, mais elles recensent les habitudes de vie des propriétaires du thermostat — des données précieuses pour les annonceurs de Google.
Le « jailbreak » de l'appareil permet d'y injecter du code; il peut s'agir de malwares, mais également de logiciels plus nobles, permettant par exemple de bloquer l'envoi de ce fichier de données… et donc, l'exploitation commerciale potentielle que pourrait en faire Google. L'équipe compte présenter ces résultats publiquement le mois prochain lors d'une conférence Black Hat, puis de proposer cet outil et le mode d'emploi en ligne, afin que les possesseurs du thermostat qui le souhaitent puissent se protéger de la gourmandise de Google.
Du côté de Nest, on regrette évidemment cette initiative, qui est d'ailleurs surveillée de près par les ingénieurs de Google. Quant à l'éventualité d'un simple bouton de désactivation d'envoi des données, Matt Rogers le cofondateur de l'entreprise explique que cette option est très peu demandée par ses clients. La base de données permet d'analyser les comportements dans les foyers et, si besoin, de proposer des optimisations afin d'économiser sur la facture d'énergie. Il rappelle aussi que le jailbreak est susceptible d'altérer le bon fonctionnement du thermostat.
Pour aller plus loin :