Connected devices and privacy: a long journey ahead
Objets connectés et vie privée : le long chemin restant
Résumé
In the IoT era, smart homes are getting increasingly equiped with connected devices, whose implications on privacy remain largely unknown from end users. In this work, I will present the issues that a user can face when installing and using connected devices, by focusing my study on smart bulbs comming from different manufacturers, which are popular and representative. I will analyse the privacy implications of multiple control techniques used for these bulbs (i.e., switching on and off the bulb, using different smartphone applications, smart speakers and smart buttons). I will show that privacy issues in the context of smart homes depend mostly on the control technique chosen by the user to control his device, rather than the device itself. I will show that there are issues concerning sovereignty, data leaks, behaviour inferences, tracking, or even applications design. I will then show the issues concerning application configurations and privacy policies and demonstrate that manufacturers cannot pretend to collect a valid consent from users. I will highlight that, in most cases, the end user cannot reasonably understand the situation which is too complex (different protocols, volume of shared data, lack of knowledge). Hence, the current situation is neither privacy-preserving, nor legal (no consent), nor sovereign (dependancy on remote actors). Therefore, I will sugest some ideas to solve these issues, like using connected devices and applications that can work locally, or creating tables of consent in order to easily define what a user consents to exactly.
À l'ère de l'Internet des Objets (IdO), les maisons intelligentes sont de plus en plus équipées d'objets connectés, dont les implications sur la vie privée restent largement inconnues des utilisateurs finaux. Dans ce travail, je présenterai les problèmes qu'un utilisateur peut rencontrer lors de l'installation et de l'utilisation d'objets connectés, en focalisant mon étude sur des ampoules intelligentes représentatives et populaires venant de différents fabricants. J'analyserai les implications sur la vie privée des diverses techniques de contrôle de ces ampoules (c.-à-d., l'allumage et l'extinction de l'ampoule à l'aide de différentes applications smartphone, enceintes connectées et boutons intelligents). Je montrerai que les problèmes liés à la vie privée dans le contexte des maisons intelligentes dépendent en grande partie de la technique de contrôle adoptée par l'utilisateur pour contrôler un objet connecté, et non pas seulement l'objet lui-même. Je montrerai qu'il existe des problèmes de souveraineté, de fuites de données, d'inférences de comportements, de traçage, ou encore de conception des applications. Je montrerai dans un second temps les problèmes liés aux configurations des applications et aux chartes de vie privée et montrerai que les fabricants étudiés ne peuvent pas prétendre recueillir un consentement valide de l'utilisateur. Je soulignerai que, dans la plupart des cas, l'utilisateur final ne peut pas raisonnablement comprendre la situation qui est trop complexe (protocoles différents, quantité de données partagées, manque de connaissance). Par conséquent, la situation actuelle n'est ni respectueuse de la vie privée de l'utilisateur, ni légale (pas de consentement), ni souveraine (dépendances avec des acteurs étrangers). Je proposerai donc quelques pistes pour résoudre ces problèmes, notamment en préconisant l'utilisation d'objets connectés et applications fonctionnant localement, et en suggérant l'utilisation de tables de consentement afin de définir simplement ce à quoi l'utilisateur consent exactement.
Origine : Fichiers produits par l'(les) auteur(s)