Ring, le constructeur de sonnettes vidéo connectées, est très léger sur le respect de la vie privée de ses clients. The Intercept décrit la manière dont plusieurs des employés de l’entreprise ont eu accès aux flux captés par ses produits, simplement en renseignant l’adresse e-mail d’un utilisateur.
C’est une affaire d’autant plus embarrassante que Ring compte à son catalogue non seulement des sonnettes, mais aussi des caméras pour surveiller l’intérieur des foyers. Ces employés ont pu avoir accès à des séquences très intimes ; la pratique était tellement commune que certains d’entre eux plaisantaient pour savoir si tel ou tel était parvenu à ramener chez lui un rendez-vous romantique…C’est également un gros caillou dans la chaussure d’Amazon, le géant du e-commerce s’étant offert Ring il y a un peu moins d’un an.
L’histoire compte deux volets, le premier remontant à 2016 quand Ring se rend compte que son service de surveillance du voisinage, Neighbors, fonctionne mal. L’intelligence artificielle sur laquelle s’appuie cette application n’étant pas spécialement finaude, l’entreprise a décidé de faire appel à son équipe d’« opérateurs données » basée en Ukraine.
Ces opérateurs avaient la tâche ingrate d’identifier et de marquer à la main tout ce qui passait sous les caméras des produits Ring. Cela consiste en gros à dessiner des carrés autour des visages d’étrangers. Il semble que ce processus, visant à « nourrir » l’IA du logiciel de reconnaissance de l’entreprise, soit toujours en cours.
Ring Labs, la filiale ukrainienne de Ring, continue aujourd’hui encore de proposer des postes d’opérateurs données. Ces employés ont accès aux vidéos enregistrées à l’extérieur de la maison, mais aussi à l’intérieur si une caméra Ring y est présente.
Pour que l’équipe d’annotation vidéo puisse faire son travail, Ring lui a fourni un accès sans entraves à un dossier stocké sur un service Amazon S3 qui contenait toutes les vidéos créées par les caméras du fabricant, partout dans le monde. Ring Labs avait aussi à sa disposition une base de données permettant de lier chaque vidéo à un utilisateur spécifique. Zéro confidentialité, donc.
Ces fichiers, accessibles d’un clic, étaient d’autant plus faciles à consulter qu’ils n’étaient pas chiffrés. D’après une source de The Intercept, la direction de Ring avait le sentiment que le chiffrement retirait de la valeur à l’entreprise. Sécuriser des flux vidéo coûte cher, et cela barre la route à de potentielles opportunités de revenus.
Ring est allé encore plus loin, en fournissant à ses ingénieurs et cadres basés aux États-Unis un accès « hautement privilégié » au portail du support technique qui contient les flux vidéo en direct des caméras de nombreux utilisateurs. Peu importe qu’ils aient besoin de ce sésame dans le cadre de leur activité au sein de Ring. Pour espionner quelqu’un, il suffisait de renseigner l’adresse mail de la victime. La source du site assure n’avoir jamais été témoin d’un abus, mais qui sait ?
Selon d’anciens employés cités par The Information, qui a également enquêté sur le sujet, les standards de respect de la confidentialité des données n’ont pas toujours été à l’œuvre chez Ring. En fait, ce n’est que depuis le mois de mai dernier, à l’occasion d’une visite des dirigeants d’Amazon dans les bureaux ukrainiens, que des contrôles plus stricts auraient été mis en place.
Ring, qui doit sentir sur sa nuque le vent chaud de la polémique, n’a pas encore officiellement réagi. La société s’est simplement contentée d’une déclaration basique selon laquelle la confidentialité et la sécurité des données de ses clients sont prises « extrêmement au sérieux » (🙄) et qu’une petite fraction de ses utilisateurs a consenti à l’exploitation de leurs vidéos.