Comment j'ai arrêté de me faire espionner par mes objets connectés
TL;DR :
- Les objets connectés sport & santé récoltent vos données et les transmettent vers des destinataires plus ou moins connus/recommandables
- Dans le cas de certains objets (ex: Xiaomi), il est impossible de retirer son consentement à cette récolte de données, au mépris du Règlement Général pour la Protection des Données Personnelles
- Il est possible d'empêcher ces envois avec un peu de paramétrage dans son téléphone. C'est radical et facile à mettre en place, je vous partage la marche à suivre ici avec un exemple concret
Faut-il encore rappeler à quel point la data privacy est importante pour TOUS aujourd'hui, avec tous les acteurs malveillants et les violations révélées tous les jours ? #Pegasus
Lorsqu'on regarde nos objets connectés d'un peu plus près, on se rend très vite compte que ce sont de formidables machines à récolter des données sur nous et notre environnement d'une part, et de vrais petits espions d'autre part qui transmettent nos données vers des destinations bien souvent peu ou pas connues, sans qu'on le sache ou y consente.
En fait, le "problème" provient de ces apps mobiles qui permettent de centraliser, de visualiser, et de transmettre ses données vers son compte pour pouvoir les retrouver sur tous ses appareils. Ces applications servent de pont et transmettent des informations en permanence vers des opérateurs plus ou moins fiables : tout le monde ne démontre pas un respect scrupuleux des règles en vigueur et de la déontologie.
Prenons un exemple concret, presque un cas d'école, celui des objets connectés de la marque Xiaomi, ce géant du smartphone low-cost (et de la trotinette électrique, de la domotique, etc.) Xiaomi commercialise des objets de toutes les sortes, tous d'un rapport qualité prix étonnant par rapport à la concurrence. Il y en a déjà partout autour de nous.
Je vais m'appuyer sur 2 appareils de cette marque que j'ai acquis par curiosité :
- Une balance connectée, la Mi Body Composition Scale
- Un bracelet connecté, le Mi Smart Band 5
Tous deux fonctionnant avec l'app Mi Fit de Huami Inc. Dans les conditions d'utilisations de cette app, on retrouve les passage suivant :
"We may also process and disclose personal information to our affiliated companies (which are in the communications, social media, technology and cloud businesses) and to Third Party Service Providers"
En français, ça donne :
"Nous pouvons également traiter et divulguer des informations personnelles à nos sociétés affiliées (qui sont dans les secteurs des communications, des médias sociaux, de la technologie et du cloud) et à des fournisseurs de services tiers."
Sans plus d'informations que ça ... dingue !
On ne sait pas qui sont ces "sociétés affiliées" ni ce qu'elles font des données (traitements et finalités). En termes de respect du RGPD, on n'est clairement pas au top :D
J'ai donc cherché à refuser le transfert, la divulgation et le traitement de mes données, et là, surprise (pas vraiment en fait) : Aucun opt-out possible
Encore mieux (ou pire?) :
"If you would like to opt out of the Technologies we employ on our websites, services, applications, or tools, you may do so by blocking, deleting, or disabling them as your browser or device permits."
Traduction :
"Si vous souhaitez vous désinscrire des technologies que nous utilisons sur nos sites Web, services, applications ou outils, vous pouvez le faire en les bloquant, en les supprimant ou en les désactivant comme votre navigateur ou appareil le permet."
En résumé : On récupère tes données, et on en fait absolument ce qu'on veut, mais on ne te dit pas quoi. Pas content ? t'as qu'à jeter nos appareils à la poubelle et désinstaller nos apps ... ou les bloquer !
Bon ça serait dommage de les jeter, mais bloquer l'envoi de données ? Pourquoi pas ? c’est techniquement possible !
On va se concentrer dans la suite sur l'app Xiaomi pour l'exemple, mais la même suite d'étapes s'applique à n'importe quel objet connecté, et n'importe quelle app associée.
1. D'abord, trouver les noms des serveurs de données auxquels l'app envoie ses données
L'enquête démarre ! on a besoin d'un journal de requêtes DNS. Plusieurs possibilités ici, on peut utiliser :
- Le journal de requêtes DNS enregistré par une app type AdGuard ou pi-hole (que je recommande grandement !)
- Pour les plus techniques d'entre vous, et pour une analyse encore plus précise, mitmproxy est un outil génial. Il vient se placer entre l'appareil dont on veut analyser l'activité et le réseau internet, puis intercepte & enregistre le trafic. mitmproxy permet par ailleurs de voir la taille des paquets de données, et donc d'identifier facilement les serveurs qui permettent la récolte de données en masse.
Pour notre app Xiaomi préférée, on trouve les serveurs suivants. A partir de leurs noms, en observant le journal de requêtes et simplement en cherchant sur internet, on arrive à les classer :
A bloquer sans hésitation :
- Les principaux serveurs de données, à bloquer sans hésitation :
- api-mifit-fr.huami.com (serveur par pays, fr si vous êtes en france, us pour les USA, etc.)
- api-mifit.huami.com
- Autres serveurs sans utilité :
- fusion.qq.com : QQ est la messagerie du groupe chinois Tencent
- cgi.connect.qq.com : idem
- restapi.amap.com : cette API appartient à un service de cartographie type Google Maps s'appelant AutoNavi et appartenant au groupe Alibaba
- restapi.amap.com.gds.alibabadns.com : même chose
A bloquer, éventuellement :
- Serveurs Facebook : attention, dysfonctionnement possibles sur les apps Facebook, Instagram et WhatsApp si vous les utilisez
- graph.facebook.com
- star.c10r.facebook.com
- Serveurs Google : attention, dysfonctionnements possibles sur les apps & sites Google (y compris Waze)
- www.gstatic.com
- www.google.com
A ne pas bloquer :
- api.xmpush.xiaomi.com : permet a priori de recevoir les mises à jour, et les données type météo sur la montre
- act.account.xiaomi.com : serveur d'authentification. On peut le bloquer une fois loggé.
- open.account.xiaomi.com : idem
Maintenant, voyons comment opérer ces blocages
2. Ensuite, couper les accès aux serveurs de données Xiaomi à appareil
Maintenant, on va mettre en place un blocage DNS au niveau du smartphone. Cela veut dire qu'on va mettre en place une liste de serveurs que le téléphone (et donc l'app) sera incapable de joindre. Cela n'impactera pas la fonctionnalité principale de l'app ni celle des objets connectés.
Pour faire ça simplement et efficacement, je conseille l'app Lockdown Privacy. Elle propose une version gratuite qui permet de faire ce que l'on désire, auditée et open-source !
Une fois l'app installée, il suffit d'aller sous "Pare-feu" dan "Liste de blocage", puis "Personnaliser" et ajouter la liste des serveurs qu'on veut bloquer. "Sauvegarder", puis il est temps d'activer le pare-feu.
Utilisez l'app Xiaomi quelques secondes puis retournez voir le "Journal de Blocage" dans l'app Lockdown. Vous devriez voir des dizaines de tentatives d'appels bloquées. Le chiffre augmente très vite, et vous serez à quelques dizaines de milliers en une quinzaine de jours :)
L'app permet également de bloquer de la pub & du tracking, comme le ferait l'absolument indispensable uBlock Origin sur votre navigateur.
En conclusion, un peu d'analyse et de bricolage permettent de venir à bout de toutes les petites applications espions (il y en a un paquet ! c’est même la quasi-totalité des apps gratuites). N'hésitez pas à bloquer toutes les formes de tracking. Enfin, je conseille vivement de mettre en place un pi-hole chez soi. Celui-ci est un utilitaire à installer sur un serveur personnel (j'utilise un vieux Raspberry Pi branché en ethernet sur ma box, et alimenté en USB par celle-ci) et qui maintient une liste de blocage assez complète et personnalisable. Cette liste de blocage s'applique alors à tout appareil connecté à votre réseau wifi, sans qu'il y ait besoin d'installer quoi que ce soit nulle part ! Voici un guide complet pour y arriver :)
- NB : en finissant d'écrire cet article, je suis tombé sur Gadgetbridge, une app Android respectueuse de la confidentialité des données et capable de se substituer aux apps des fabricants comme Xiaomi, Amazfit, Fossil, Casio, Pebble !
- NB2 : Je serais très curieux de voir ce que donne la même petite analyse avec des bracelets des marques Garmin & Huawei, pas mal répandues en France.
- NB3 : les appareils très peu chers sont construits avec un business model spécial. Si c'est trop peu cher, il y a peut-être une particularité. Pour donner un ordre d'idée, la balance m'a coûté une trentaine d'euros, et le bracelet moins d'une vingtaine. Même si cela ne garantit rien dans l'absolu, il est souvent plus sage de privilégier des appareils de marques européennes, ou dont l'UE est un marché essentiel.
Sources :
- Mozilla Foundation *Privacy not included, Mi Band 5
- Horia Constantin, How’s Xiaomi MiBand privacy?
- Kevin Grahl, Xiaomi Mi Smart Band 4 & Privacy
Merci pour votre lecture ! 😊👋
~ Anas EL KHALOUI