Le mois dernier, Google a officiellement mis un terme au support des premières générations de son Nest Learning Thermostat, désactivant notamment le contrôle à distance via l'application. Pour de nombreux utilisateurs, cette décision sonnait le glas de l'intelligence de leur appareil. Pourtant, en coulisses, la connexion avec les serveurs de la firme de Mountain View est loin d'être coupée. Une enquête technique a mis en lumière une réalité inattendue : ces thermostats, bien que dégradés, continuent de fonctionner comme des mouchards silencieux.
Quelles informations sont encore transmises à Google ?
Loin de se contenter de fonctionner en mode dégradé, les premiers thermostats connectés de la gamme continuent de documenter méticuleusement leur environnement. La découverte, faite par le chercheur en sécurité Cody Kociemba et rapportée par The Verge, est pour le moins troublante.
Les appareils envoient toujours à Google une multitude d'informations : les changements manuels de température, la détection d'une présence humaine dans la pièce, et même si l'appareil est directement exposé à la lumière du soleil. Les capteurs de température, d'humidité, de lumière ambiante et de mouvement restent pleinement actifs et leurs mesures sont systématiquement transmises.
Comme l'a expliqué le chercheur à The Verge, « sur ces appareils, bien que Google ait désactivé l'accès au contrôle à distance, ils ont conservé la capacité pour les appareils de télécharger des journaux de connexion. Et ces journaux sont assez exhaustifs ». C'est donc une communication à sens unique qui s'est installée, à l'insu de la plupart des propriétaires.
Comment cette surveillance a-t-elle été découverte ?
Cette mise en lumière est le fruit d'une initiative peu commune. Cody Kociemba participait à un programme de prime (un "bounty") lancé par FULU, une organisation de défense du droit à la réparation cofondée par le célèbre technicien et youtubeur Louis Rossmann. Le défi était de redonner leurs fonctionnalités intelligentes aux appareils abandonnés par leurs fabricants.
C'est dans le cadre de son projet open-source, baptisé No Longer Evil, que Kociemba a fait cette trouvaille. Le projet visait à développer une solution pour restaurer les fonctionnalités intelligentes des appareils Nest que Google ne prend plus en charge. C'est en clonant l'API de la firme pour créer son propre logiciel que le chercheur a commencé à recevoir un flot inattendu de journaux de connexion provenant des appareils de clients, un flux qu'il a immédiatement désactivé.
Pourquoi cette collecte de données est-elle problématique ?
L'argument officiel de Google était que ces journaux servaient au « diagnostic des problèmes ». Une justification qui ne tient plus la route selon Cody Kociemba. Puisque le support est totalement interrompu, l'entreprise ne peut plus utiliser ces données pour aider les clients, même en cas de défaillance matérielle.
Le chercheur résume la situation de manière frappante : « J'avais l'impression que la connexion avec Google serait coupée en même temps que la fonctionnalité à distance, mais cette connexion n'est pas coupée et constitue plutôt une voie à sens unique ». Cette pratique pose une question fondamentale de transparence et d'utilité.
Pourquoi continuer à collecter des informations sur les habitudes des utilisateurs via des appareils que l'on a choisi de ne plus maintenir ? Sans réponse claire de la part de Google, les propriétaires de ces thermostats sont en droit de se demander à quoi servent vraiment leurs informations personnelles une fois qu'elles ont quitté leur domicile.