Amazon a envoyé les interactions vocales d’un utilisateur d’Alexa à la mauvaise personne

Sécurité

Par Corentin le

En Allemagne, un client Amazon s’est retrouvé avec 1700 enregistrements vocaux d’interactions vocales avec Alexa alors qu’il ne possède pas d’enceinte connectée Echo. Amazon se serait trompé en repondant aux requêtes d’accès aux données personnelles de deux de ses utilisateurs.

Amazon a fait une boulette qui risque de ternir son image en matière de protection des données privées. En Allemagne, un utilisateur d’Amazon s’est retrouvé avec l’historique des interactions vocales d’un utilisateur d’Alexa qu’il ne connaissait pas.

Conformément à la loi RGPD instaurée il y a quelques mois au sein de l’Union Européenne qui a pour but de protéger les données personnelles numériques, un utilisateur allemand nommé Martin Schneider a voulu avoir accès aux données collectées à son sujet par Amazon. Le géant américain du e-commerce s’est plié à la requête sans aucun problème et lui a envoyé un fichier .zip avec pas moins de 1700 enregistrements d’interactions vocales avec Alexa, accompagnés de leurs transcriptions. Seulement voilà, Mr. Schneider n’a pas d’enceinte connectée Amazon Echo et n’a jamais utilisé Alexa.

Le couple mystère identifié après étude des enregistrements

Ayant vraisemblablement réalisé son erreur, Amazon a retiré l’accès au fichier .zip quelque temps plus tard. Mais Martin Schneider a eu le temps de l’enregistrer intégralement sur son disque dur et d’écouter les enregistrements dans le détail. On pouvait y entendre les conversations d’un couple utilisant Alexa notamment pour contrôler Spotify, un thermostat connecté et des alarmes. Martin Schneider est alors entré en contact avec le journal allemand C’t Magazine qui a fini par retrouver les utilisateurs en question, grâce à des commandes vocales concernant la météo (basée sur la localisation) et les contacts personnels.

Mais que s’est-il passé ? En réalité, il se trouve que le couple victime de la fuite de ses données personnelles a aussi demandé à les consulter, mais les personnes ont chacune reçu les données personnelles de l’autre. Amazon plaide pour une erreur humaine. Dans une déclaration accordée à The Verge, l’entreprise explique :

C’était un cas malheureux d’erreur humaine et un incident isolé. Nous avons résolu le problème avec les deux clients concernés et avons pris des mesures pour améliorer davantage nos processus. Nous avons également été en contact, par précaution, avec les autorités réglementaires compétentes.