Kohler est une marque américaine spécialisée dans les équipements de salle de bain, qui a lancé cette année un accessoire baptisé Dekoda. Comparable à l’entreprise Throne, c’est une petite caméra qui se fixe sous la lunette des toilettes, ce qui lui permet d’avoir une vue parfaite sur la cuvette, afin d’analyser ce que vous pouvez y déposer pour dresser un bilan de votre santé intestinale. Dès lors, nous sommes parfaitement en droit de se poser cette question : qui peut voir les images enregistrées, et quelles sont-elles vraiment ?
Anticipant cette inquiétude, Kohler a expliqué que le capteur de la caméra ne pointe que vers le bas de la cuvette et que les données sont protégées par un « chiffrement de bout en bout ». Soit ; en cryptographie, c’est un terme plutôt rassurant et une technique de chiffrement utilisée par des applications de messagerie comme Signal ou WhatsApp. En théorie, cela interdit à quiconque, y compris l’entreprise, de consulter quoi que ce soit à propos de vos dépôts intimes. Le problème, c’est que ce n’était pas du tout le cas : Kohler a-t-elle oublié les règles élémentaires de confidentialité ?
Le Big Brother de la pipi-room
Une révélation que l’on doit à un certain Simon Fondrie-Teitler, chercheur en sécurité, qui a pointé du doigt un billet technique de l’entreprise, insistant sur l’utilisation impropre du terme « chiffrement de bout en bout ». En effet, en lisant leur page relative à la politique de confidentialité des données de santé du consommateur, il est écrit noir sur blanc : « Nous pouvons créer, déduire ou générer des données de santé des consommateurs à partir d’autres données que nous collectons ».
Pour ce faire, elle doit forcément avoir accès aux données brutes (les images des selles et de l’urine) et les déchiffrer sur leurs systèmes pour y appliquer leurs algorithmes d’analyse. Un véritable chiffrement de bout en bout ne lui permettrait pas une telle manipulation des données.
En réalité, leur protocole n’est qu’un chiffrement standard TLS (Transport Layer Security), qui protège les échanges comme sur n’importe quel site HTTPS. Disons simplement que vos selles ne sont pas vraiment de la même catégorie que vos informations bancaires, et qu’il est extrêmement malvenu de proposer un niveau de sécurité aussi bas pour un dispositif aussi intime. Les images de votre cuvette passaient donc bien par les serveurs de Kohler, où elles étaient déchiffrées pour leur traitement : charmant, n’est-ce pas ?
Interrogé sur cette utilisation pour le moins créative de ce vocabulaire technique, Kohler n’a pas répondu aux sollicitations de TechCrunch, d’où nous viennent ces informations. Un interlocuteur de l’entreprise a tout de même précisé que les données étaient « stockées de manière sécurisée » sur le téléphone, l’accessoire et les serveurs de l’entreprise.
Les échanges de données, selon ses mots, étaient « chiffrés de bout en bout lorsqu’ils voyagent entre les appareils de l’utilisateur et nos systèmes ». Celles-ci sont quand même « déchiffrées et traitées pour fournir notre service », explique-t-il, ce qui est un non-sens absolu en cryptographie, puisque cela revient à dire : « personne ne peut voir vos données, sauf nous ». Une petite pirouette que n’aurait pas reniée Meta et un certain Mark Zuckerberg, pour ne citer que lui.
Fondrie-Teitler, rappelle assez justement : « Il est important d’utiliser les bons termes, surtout lorsque la vie privée est une inquiétude majeure ». C’est peut-être une porte ouverte qu’il enfonce ici, mais visiblement, la porte des toilettes l’était un peu trop pour Kohler, donc le spécialiste fait bien d’y mettre un coup de pied. Surtout qu’il est fort possible que l’entreprise puisse utiliser les images récoltées pour entraîner ses propres modèles d’IA, même si elle assure le contraire. Elle affirme que ceux-ci sont « entraînés uniquement sur des données anonymisées », une assertion tout aussi vague qu’un fond de cuvette de WC avant un tirage de chasse d’eau. Comment croire à leurs discours, après leur définition quelque peu mensongère du chiffrement de bout en bout ?
- Kohler a mal utilisé le terme « chiffrement de bout en bout » pour leur caméra de WC, puisque les données sont décryptées sur leurs serveurs pour analyse.
- L’entreprise collecte des données brutes et les utilise pour entraîner ses algorithmes, tout en restant très vague sur la confidentialité.
- Le chiffrement TLS utilisé est standard et ne protège pas suffisamment les données sensibles, contrairement à ce qui est insinué.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
