Dans un monde où les technologies multimédias évoluent à un rythme effréné, les smart TVs sont devenues des dispositifs omniprésents dans nos foyers. Ces téléviseurs intelligents dotés d’un accès à Internet et proposant une multitude de fonctionnalités sont censés améliorer notre expérience de divertissement. Cependant, une nouvelle enquête révèle que ces dispositifs pourraient bien être des espions modernes, prenant des captures d’écran de ce que nous regardons et envoyant ces données à des serveurs distants plusieurs fois par seconde. Une enquête de Trust My Science révèle en outre que la caméra frontale de certains modèles pourrait aisément être piratée par des cybercriminels — bien plus facilement que celle d’un smartphone notamment, en raison du faible niveau de sécurité de la majorité des logiciels de smart TV.
Les smart TVs utilisent des systèmes de reconnaissance automatique de contenu (ACR) pour capturer des images et des enregistrements audio des programmes visionnés par les utilisateurs. L’ACR, une technologie similaire à celle de Shazam pour la musique, identifie les contenus en cours de lecture et collecte des informations détaillées à leur sujet. Ces données, comprenant des captures d’écran prises plusieurs fois par seconde, sont ensuite envoyées à des serveurs distants pour analyse. Cette technologie permet aux fabricants de smart TVs de comprendre les préférences des utilisateurs et de cibler les publicités de manière plus efficace.
La surveillance par les smart TVs ne se limite pas aux contenus visionnés. Des logiciels malveillants peuvent également représenter une menace sérieuse, permettant aux pirates d’accéder aux téléviseurs et de les contrôler à distance. En avril 2024, des chercheurs de Bitdefender ont découvert quatre vulnérabilités majeures dans le système d’exploitation webOS des smart TVs LG, mettant en danger des milliers d’utilisateurs. Ces vulnérabilités permettraient notamment aux attaquants d’exécuter des commandes à distance, de voler des données sensibles et même de prendre le contrôle complet des téléviseurs, incluant la caméra frontale.
Contacté par Trust My Science, un chercheur en sécurité informatique du CyLab Security & Privacy Institute de l’Université de Carnegie Mellon (États-Unis), qui a souhaité rester anonyme, explique : « Ces smart TVs, comme de nombreux autres dispositifs connectés modernes dont les mises à jour de sécurité sont peu fréquentes, sont spécialement vulnérables aux attaques ».
Lorsque nous lui avons demandé à quel point il serait « plus facile » selon lui d’accéder aux caméras frontales de certains dispositifs vulnérables, par rapport aux smartphones ou à un ordinateur portable bénéficiant des dernières mises à jour, il a répondu : « Beaucoup plus facile dans la majorité des cas, car les logiciels des smart tv sont beaucoup moins performants à bloquer les intrusions, en plus de bénéficier de mises à jour moins fréquentes et donc de souffrir de failles de sécurité qui s’accumulent sur de plus longues périodes, et qui laissent donc aux cybercriminels plus de temps et d’occasions de les exploiter ».
Il a ajouté : « Comme certains experts en sécurité l’ont déjà montré, notamment ceux de Bitdefender, que vous mentionnez, l’injection de simples bouts de codes semi-authentifiés dans des points de terminaison spécifiques du logiciel permet l’exécution de commandes sur le périphérique en tant qu’utilisateur principal. À partir de là, presque tout type de contrôle du dispositif est possible, dont l’activation de la caméra frontale si ce dernier en possède une ».
Une collecte de données directe par les fabricants
De grands fabricants de smart TVs, dont Samsung et Vizio, sont au cœur de la controverse. Ils collectent des données sur les utilisateurs pour monétiser les publicités et vendre ces informations à des tiers. Les données collectées incluent non seulement les contenus visionnés, mais aussi des informations personnelles telles que l’emplacement, les habitudes de visionnage et les interactions vocales. Cependant, les utilisateurs ne sont pas toujours informés de l’étendue de cette collecte. « Les smart TVs peuvent être vendues à prix coûtant parce que les fabricants peuvent monétiser ces appareils par la collecte de données et à la vente de publicités ciblées », peut-on lire dans un article de Business Insider.
Face à ces enjeux, les régulateurs commencent à prendre des mesures pour protéger les consommateurs. Aux États-Unis, la loi Video Privacy Protection Act interdit depuis 1988 aux fournisseurs de divulguer les informations de consommation vidéo sans le consentement des consommateurs.
Depuis, des recommandations supplémentaires ont été émises pour limiter la collecte de données par les smart TVs. Par exemple, les utilisateurs peuvent désactiver certaines fonctions de collecte de données dans les paramètres de leur téléviseur. Des options comme la désactivation de la reconnaissance automatique de contenu et la réinitialisation des identifiants publicitaires peuvent aider à réduire l’empreinte de données collectées.
Des incidents de violation de données
Malgré ces protections, des incidents de violation de la confidentialité continuent de se produire. En début d’année, une cyberattaque a compromis les données de 576 000 comptes d’utilisateurs de Roku (un service de streaming TV très populaire aux États-Unis), soulignant la vulnérabilité de ces dispositifs connectés. Ces incidents montrent la nécessité de renforcer la sécurité des smart TVs pour protéger les utilisateurs.
Les experts en cybersécurité recommandent de prendre des mesures pour protéger la vie privée. Premièrement, il est essentiel de toujours mettre à jour le logiciel du téléviseur. En outre, les utilisateurs doivent être conscients des données collectées par ces appareils et que s’ils le souhaitent, il est possible de limiter cette collecte par le biais des paramètres.