En test dans l'Université de Carnegie Mellon depuis 2016, l'application IoT Assistant est désormais disponible sur l'App Store et sur Google Play aux États-Unis. Elle permet à l'utilisateur de repérer les objets connectés alentour, de savoir quelles données ils collectent, et d'automatiser l'arrêt de cette collecte prévue par le RGPD et ses équivalents.

À l’heure de la multiplication des scandales autour de la collecte de données, l’application IoT Assistant entend donner aux utilisateurs un outil de contrôle. Développée par l’Université de Carnegie Mellon et publiée ce 19 février 2020, elle permet de savoir toute sorte d’informations sur la multitude d’objets connectés qui nous entourent : caméras, enceintes, appareils électroménagers… L’app indique quels types de données sont collectées (image, voix, localisation, etc.), et permet d’automatiser la demande d’arrêt de la collecte, si elle existe.

Dans le cas contraire, l’application peut renvoyer à une plateforme développée par les chercheurs, qui permet d’automatiser la demande d’arrêt de la collecte prévu par les lois. Les universitaires ont également prévu une plateforme pour que les entreprises et administrations déclarent les caractéristiques et la localisation de chaque type d’objet connecté elles-mêmes. Pour l’instant, IoT Assistant n’est disponible qu’aux États-Unis, à la fois sur Android et sur iOS.

L’application rêvée par les défenseurs de la vie privée

La démonstration de l’application par les chercheurs impressionne. Ils se placent à proximité de l’objet connecté avec leur smartphone, puis l’application cherche si elle dispose d’un appareil similaire dans sa base de données. Et l’on ne parle pas que des objets grand public vendus aux particuliers, mais aussi des objets présents dans l’espace public, comme les écrans de publicité ou les bornes qui détectent les cartes SIM.

Si c’est le cas, elle fournit une fiche très détaillée des caractéristiques de l’appareil : son nom, qui possède l’information collectée, quel est son constructeur, ainsi qu’un bref texte de description. La fiche indique aussi, dans un bloc à part : quelles données sont collectées, quelles données permettent une identification, quelles mesures ont été prises par le constructeur pour protéger la vie privée, pourquoi la donnée est collectée, combien de temps les données sont collectées, et enfin, qui a accès à ces données.

Si le constructeur de l’objet connecté a développé une façon d’arrêter automatiquement la collecte de données, il est possible de le faire depuis l’IoT Assistant. Sinon, le site permet de rediriger vers une page web, qui automatise des demandes prévues par les textes de loi comme le Règlement général européen sur la protection des données (RGPD) ou le California Consumer Privacy Act (CCPA). L’utilisateur peut alors indiquer qu’il ne consent pas à la collecte de ses données, exiger un téléchargement de ses données, ou encore leur suppression. « Le RGPD et le CCPA requièrent de donner aux personnes un certain contrôle sur les données collectées et comment elles sont utilisées », rappelle Norman Sadeh, professeur à l’Institut de recherche en logiciel de l’Université de Carnegie Mellon.

L’application permet de savoir quels appareils connectés entourent l’utilisateur, et de leur soumettre les préférences de l’utilisateur. // Source : Université de Carnegie Mellon

Les universitaires semblent avoir pensé à tout : ils ont même développé un portail pour que les entreprises enregistrent leurs propres systèmes en suivant des modèles prédéfinis. Elles n’ont donc qu’à cocher, par exemple, « caméra » sur « type d’appareil », puis « image » et « son » dans « type de données ».« Nous avons prémâché le travail pour vous. Il suffit d’ajouter vos objets connectés à la plateforme pour être conformes aux récentes lois sur la vie privée », vante Norman Sadeh.

Ce système permet aussi de créer des registres par zone comme les foyers, les centres commerciaux ou les universités.

L’app pourra-t-elle être à la hauteur de ses ambitions ?

Cette application est-elle trop belle pour être vraie ? Plusieurs points peuvent laisser douter de son efficacité.

D’abord, les chercheurs de Carnegie Mellon comptent sur l’application des régulations comme le RGPD. Mais que se passera-t-il si les entreprises n’ont pas pensé à créer des outils pour automatiser la prise en compte des requêtes ? En théorie, le RGPD permet d’exiger l’arrêt de la collecte de données personnelles sans consentement, mais est-il applicable à très grande échelle ?

Ensuite, ils semblent compter sur une forme de crowdsourcing  : constructeurs, entreprises, et individus sont invités à alimenter la base. Mais si trop peu de personnes jouent le jeu, la plateforme pourrait rester confidentielle. Les développeurs assurent tout de même que des dizaines de milliers de ressources ont déjà été partagées.

Enfin, le projet a été financé, entre autres, par une « large dotation » d’un programme de recherche sur la vie privée de la DARPA, l’Agence pour les projets de recherche avancée de défense, qui dépend du département de la Défense des États-Unis. Elle est chargée de la recherche et du développement des nouvelles technologies destinées à un usage militaire. Ce financement pourrait donc faire grincer quelques dents.

Crédit photo de la une : Carnegie Mellon

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux