Un programme de Microsoft pour transcrire et vérifier l'audio de Skype et de Cortana, son assistant vocal, a fonctionné pendant des années sans " mesures de sécurité ", selon un ancien entrepreneur qui dit avoir examiné des milliers d'enregistrements potentiellement sensibles sur son ordinateur portable personnel depuis son domicile à Pékin pendant les deux années où il a travaillé pour la société.
Selon l'entrepreneur, les enregistrements, qu'il s'agisse d'activations délibérées ou accidentelles de l'assistant vocal, ainsi que certains appels téléphoniques sur Skype, ont simplement été consultés par les employés de Microsoft au moyen d'une application Web fonctionnant dans le navigateur Chrome de Google, sur leurs ordinateurs portables personnels, sur l'Internet chinois.
Les travailleurs n'ont bénéficié d'aucune aide en matière de cybersécurité pour protéger les données contre les interférences criminelles ou étatiques, et ont même reçu l'instruction de faire le travail en utilisant de nouveaux comptes Microsoft, tous avec le même mot de passe, pour faciliter la gestion, a déclaré l'ancien entrepreneur. Le contrôle des employés était pratiquement inexistant, a-t-il ajouté.
"Il n'y avait pas de mesures de sécurité, je ne me souviens même pas qu'ils aient fait une vérification adéquate de mon identité [connaître son client]. Je pense qu'ils ont juste pris les coordonnées de mon compte bancaire chinois ", a-t-il dit au Guardian.
Alors que le tri a commencé dans un bureau, il a dit que l'entrepreneur qui l'employait " après un certain temps m'a permis de le faire de chez moi à Beijing ". Je jugeais l'anglais britannique (parce que je suis britannique), alors j'écoutais les gens qui avaient leur appareil Microsoft réglé sur l'anglais britannique, et j'avais accès à tout cela depuis mon ordinateur portable à la maison avec un simple nom d'utilisateur et un mot de passe de connexion". Le nom d'utilisateur et le mot de passe ont été envoyés par courriel aux nouveaux entrepreneurs en texte clair, a-t-il dit, le premier correspondant à un schéma simple et le second étant le même pour tous les employés qui se sont joints au cours d'une année donnée.
" Ils m'ont juste donné un nom d'utilisateur par courriel et qu'ensuite j'aurai accès aux enregistrements de Cortana. Je pouvais alors hypothétiquement partager ce login avec n'importe qui", a déclaré l'entrepreneur. "J'ai entendu toutes sortes de conversations inhabituelles, y compris ce qui aurait pu être de la violence domestique. Cela semble un peu fou maintenant, après m'être renseigné sur la sécurité informatique, qu'ils m'aient donné l'URL, un nom d'utilisateur et un mot de passe envoyés par courriel".
Outre les risques qu'un employé malhonnête enregistre lui-même les données des utilisateurs ou accède aux enregistrements vocaux sur un ordinateur portable compromis, la décision de Microsoft d'externaliser une partie du travail de contrôle des enregistrements anglais à des entreprises basées à Pékin soulève la perspective supplémentaire que l'État chinois puisse accéder aux enregistrements. "Vivre en Chine, travailler en Chine, vous êtes déjà compromis avec presque tout", a déclaré l'entrepreneur. "Je n'y ai jamais vraiment pensé."
Le programme de notation, présenté pour la première fois par Vice en août, est allé plus loin que ceux gérés par d'autres multinationales technologiques telles qu'Amazon, Apple et Google. En plus d'employer des évaluateurs humains pour vérifier l'audio de l'assistant vocal de l'entreprise, il a été révélé que des entrepreneurs de Microsoft écoutaient les appels effectués par le biais du service téléphonique Skype, qui appartient à l'entreprise.
Une fonction expérimentale permettant la traduction en direct de textes d'appels Skype a été examinée par des humains, a révélé Vice, augmentant les chances que des personnes passent des appels sensibles sans savoir que leurs conversations sont effectivement mises sur écoute. Microsoft a révélé aux utilisateurs que l'entreprise pouvait " analyser l'audio " des appels, mais pas qu'elle les ferait écouter à des travailleurs humains.
Vice a indiqué à l'époque que le travail était " au moins en partie du travail à domicile ". Mais l'étendue des risques potentiels pour la sécurité que cela représentait n'a pas été signalée auparavant.
Microsoft a déclaré dans une déclaration que, depuis le rapport de Vice en été, elle avait mis fin à ses programmes de notation pour Skype et Cortana pour Xbox et déplacé le reste de sa notation humaine dans des " installations sécurisées " - dont aucune n'est en Chine.
"Nous examinons de courts extraits de données vocales anonymisées provenant d'un petit pourcentage de clients pour aider à améliorer les fonctions vocales, et nous faisons parfois participer des entreprises partenaires à ce travail", a déclaré la société. " Les échantillons sont généralement d'une durée de moins de dix secondes et personne n'aurait accès à des conversations plus longues s'il les examinait. Nous avons toujours divulgué ces informations à nos clients et nous appliquons les normes de confidentialité les plus strictes définies par des lois telles que le RGPD européen.
"L'été dernier, nous avons soigneusement examiné le processus que nous utilisons et les communications avec les clients. Nous avons donc mis à jour notre déclaration de confidentialité pour être encore plus clairs sur ce travail, et depuis nous avons déplacé ces révisions vers des installations sécurisées dans un petit nombre de pays. Nous continuerons à prendre des mesures pour donner aux clients une plus grande transparence et un meilleur contrôle sur la façon dont nous gérons leurs données ", a ajouté Microsoft.
source :
https://www.theguardian.com/technology/2020/jan/10/skype-audio-graded-by-workers-in-china-with-no-security-measures