Aujourd’hui, la Fondation Mozilla a publié son analyse sur la manière dont les constructeurs automobiles gèrent la confidentialité des données collectées par leurs voitures connectées, et les résultats ne surprendront probablement aucun lecteur régulier d’Ars Technica. Les chercheurs ont été horrifiés par leurs conclusions, déclarant que « les voitures sont la pire catégorie de produits que nous ayons jamais examinée en matière de confidentialité ».
Mozilla a examiné 25 marques de voitures et a constaté qu’elles collectaient toutes trop de données personnelles et provenant de sources multiples – en surveillant non seulement les boutons que vous appuyez ou ce que vous faites dans l’une des applications du système d’infodivertissement, mais également des données provenant d’autres sources comme la radio par satellite. ou des cartes tierces. Ou même lorsque vous connectez votre téléphone : souvenez-vous de cette invite vous demandant si vous souhaitez partager tous vos contacts et notes avec votre voiture lorsque vous l’avez connectée via Bluetooth ?
Si certaines données collectées semblent inoffensives, voire utiles – des retours pour améliorer l’ergonomie de la cabine et l’interface utilisateur, par exemple – certaines données ne le sont décidément pas.
Par exemple, la politique de confidentialité de Nissan indique qu’elle peut collecter « des informations personnelles sensibles, notamment le numéro de permis de conduire, le numéro d’identification national ou étatique, le statut de citoyenneté, le statut d’immigration, la race, l’origine nationale, les croyances religieuses ou philosophiques, l’orientation sexuelle, l’activité sexuelle, la géolocalisation précise. , des données de diagnostic de santé et des informations génétiques », même s’il est peu probable que votre voiture sache si vous êtes occupé sur la banquette arrière. Bien que cela puisse être techniquement possible avec une voiture équipée d’un système de surveillance du conducteur par caméra, la politique de confidentialité de Nissan indique que la source de données du paragraphe cité est « un contact direct avec les utilisateurs et les employés de Nissan ».
(Bien que des systèmes de surveillance du conducteur plus sophistiqués prétendant détecter les états émotionnels aient été démontrés lors de salons comme le CES, nous n’en connaissons aucun en production.)
Mozilla a trouvé bien d’autres raisons de s’inquiéter. Quatre-vingt-quatre pour cent des marques analysées ont déclaré pouvoir partager vos données, et 76 pour cent ont déclaré pouvoir les vendre. Et plus de la moitié déclarent qu’ils partageront leurs données avec le gouvernement et les forces de l’ordre sur demande.
Les utilisateurs ont très peu de contrôle sur ce que ces marques font de leurs données. Seules deux des 25 marques (Renault et Dacia) indiquent aux utilisateurs qu’elles ont le droit de faire supprimer leurs données, et aucune d’elles ne vend de voiture aux Etats-Unis.
Le mauvais état de la sécurité numérique dans l’industrie automobile ne devrait pas non plus surprendre ; En janvier, nous avons signalé des vulnérabilités généralisées chez plusieurs constructeurs OEM qui permettraient à des pirates informatiques malveillants d’accéder à des informations personnelles à partir de serveurs ou même de démarrer à distance le moteur d’une voiture. Mozilla n’était pas non plus impressionné, déclarant :
Notre principale préoccupation est que nous ne pouvons pas savoir si l’une des voitures crypte toutes les informations personnelles qui se trouvent dans la voiture. Et c’est le strict minimum ! Après tout, nous ne les appelons pas nos normes de sécurité de pointe.
Parmi les marques de voitures examinées par Mozilla, Tesla s’en sort le moins bien ; ce n’était apparemment que le deuxième produit à recevoir tous les « problèmes de confidentialité » de Mozilla (un chatbot IA était le premier), apparemment. Nissan a remporté l’honneur douteux de se classer au deuxième rang – la section citée ci-dessus devrait donner une bonne idée de pourquoi.
Quelle est la solution ?
Malheureusement, Mozilla (ou Ars) ne peut pas proposer beaucoup de mesures pratiques pour améliorer cette situation. Comme le note le rapport de Mozilla, il n’y a pratiquement pas de choix : je ne suis pas sûr qu’une seule voiture neuve en vente en 2023 aux États-Unis ne contienne pas de modem intégré, et un tel équipement est désormais obligatoire par la loi en Europe. Syndicat des services d’urgence.
Les Californiens pourraient espérer bénéficier d’une certaine protection des données ; cet État a adopté une loi sur la confidentialité des consommateurs en 2018 et, en août, la California Privacy Protection Agency a déclaré qu’elle examinerait les pratiques de confidentialité des données des véhicules connectés et de leurs fabricants.
Au niveau national, certains espèrent que les National Institutes of Standards and Technology et la Federal Trade Commission pourraient inclure les voitures connectées dans leur nouveau système d’étiquetage des normes de sécurité de l’IoT, mais rien n’indique que cela se produise pour l’instant.
Pendant ce temps, Mozilla suggère que la sensibilisation est la solution et collecte des signatures pour une pétition.