Objets connectés et vie privée : le long chemin restant
Institution:
Université Grenoble AlpesDisciplines:
Directors:
Abstract EN:
In the IoT era, smart homes are getting increasingly equiped withconnected devices, whose implications on privacy remain largelyunknown from end users. In this work, I will present the issues that auser can face when installing and using connected devices, by focusingmy study on smart bulbs comming from different manufacturers, whichare popular and representative. I will analyse the privacyimplications of multiple control techniques used for these bulbs(i.e., switching on and off the bulb, using different smartphoneapplications, smart speakers and smart buttons). I will show thatprivacy issues in the context of smart homes depend mostly on thecontrol technique chosen by the user to control his device, ratherthan the device itself. I will show that there are issues concerningsovereignty, data leaks, behaviour inferences, tracking, or evenapplications design. I will then show the issues concerning applicationconfigurations and privacy policies and demonstrate that manufacturerscannot pretend to collect a valid consent from users. I will highlightthat, in most cases, the end user cannot reasonably understand thesituation which is too complex (different protocols, volume of shareddata, lack of knowledge). Hence, the current situation is neitherprivacy-preserving, nor legal (no consent), nor sovereign (dependancyon remote actors). Therefore, I will sugest some ideas to solve theseissues, like using connected devices and applications that can worklocally, or creating tables of consent in order to easily define whata user consents to exactly.
Abstract FR:
À l'ère de l'Internet des Objets (IdO), les maisons intelligentes sont de plus en plus équipés d'objets connectés, dont les implications sur la vie privée restent largement inconnues des utilisateurs finaux. Dans ce travail, je présenterai les problèmes qu'un utilisateur peut rencontrer lors de l'installation et de l'utilisation d'objets connectés, en focalisant mon étude sur des ampoules intelligentes représentatives et populaires venant de différents fabricants. J'analyserai les implications sur la vie privée des diverses techniques de contrôle de ces ampoules (c.-à-d., l'allumage et l'extinction de l'ampoule à l'aide de différentes applications smartphone, enceintes connectées et boutons intelligents). Je montrerai que les problèmes liés à la vie privée dans le contexte des maisons intelligentes dépendent en grande partie de la technique de contrôle adoptée par l'utilisateur pour contrôler un objet connecté, et non pas seulement l'objet lui-même. Je montrerai qu'il existe des problèmes de souveraineté, de fuites de données, d'inférences de comportements, de traçage, ou encore de conception des applications. Je montrerai dans un second temps les problèmes liés aux configurations des applications et aux chartes de vie privée et montrerai que les fabricants étudiés ne peuvent pas prétendre recueillir un consentement valide de l'utilisateur. Je soulignerai que, dans la plupart des cas, l'utilisateur final ne peut pas raisonnablement comprendre la situation qui est trop complexe (protocoles différents, quantité de données partagées, manque de connaissance). Par conséquent, la situation actuelle n'est ni respectueuse de la vie privée de l'utilisateur, ni légale (pas de consentement), ni souveraine (dépendances avec des acteurs étrangers). Je proposerai donc quelques pistes pour résoudre ces problèmes, notamment en préconisant l'utilisation d'objets connectés et applications fonctionnant localement, et en suggérant l'utilisation de tables de consentement afin de définir simplement ce à quoi l'utilisateur consent exactement.