Faux pas : Analyse comparative des appareils de suivi de la condition physique sous l'angle de la sécurité et de la protection des renseignements personnels

Organisation

Open Effect

Publication

2016

Chargée de projet

Andrew Hilts, directeur exécutif

Sommaire

Les appareils de suivi de la condition physique, qui mesurent le rythme cardiaque, le nombre de pas et le sommeil, s'insèrent dans un vaste écosystème d'activités liées à la santé, entre autres l'établissement d'objectifs et le suivi du régime alimentaire. Les chercheurs étudient les aspects liés à la sécurité et à la protection des renseignements personnels de huit appareils populaires à porter sur soi pour effectuer le suivi de la condition physique. Ils utilisent une variété de moyens techniques, stratégiques et juridiques pour comprendre quelles données sont recueillies par ces appareils et leurs applications mobiles connexes, lesquelles sont envoyées à des serveurs à distance, comment les données sont sécurisées, à qui elles peuvent être communiquées et comment elles pourraient être utilisées par les entreprises.

Les chercheurs expliquent le contexte et les conclusions de leur étude ainsi que les méthodes techniques utilisées. Voici leurs principales conclusions techniques :

  • Sept des huit appareils de suivi de la condition physique transmettent des identificateurs uniques persistants (adresse MAC [Media Access Control] de Bluetooth) qui peuvent exposer les personnes qui les portent à un suivi à long terme de leur emplacement lorsque l'appareil n'est pas jumelé et connecté à un appareil mobile. Les applications Jawbone et Withings peuvent être utilisées pour créer de fausses données sur la condition physique, ce qui remet en question la fiabilité de ces données pour les instances judiciaires ou les programmes d'assurance.
  • Les applications Garmin Connect (iPhone et Android) et Withings Health Mate (Android) comportent des vulnérabilités au niveau de la sécurité qui permettent à un tiers non autorisé de lire, de saisir ou de supprimer les données de l'utilisateur.
  • Garmin Connect n'a pas adopté de pratiques de sécurité de base pour la transmission des données dans ses applications iOS ou Android. Par conséquent, les données liées à la condition physique peuvent être surveillées ou trafiquées.

Les chercheurs ont tenté de communiquer avec les sept entreprises dont les appareils comportent des vulnérabilités sur le plan de la sécurité. Ils n'ont pas tenté de communiquer avec Apple, car leur méthode n'a pas permis de déceler de vulnérabilité technique dans l'Apple Watch. Fitbit, Intel (Basis) et Mio ont discuté avec les chercheurs et les représentants de Fitbit se sont dits intéressés à examiner la possibilité de mettre en œuvre les fonctionnalités de protection des renseignements personnels de Bluetooth.

Dans l'ensemble, les chercheurs ont conclu que les données sur la condition physique peuvent fournir des informations détaillées sur la vie des gens. Ces données sont utilisées dans un nombre croissant de domaines, comme les assurances, le bien-être au travail et les tribunaux. Le projet indique que les consommateurs devraient être mieux renseignés sur les pratiques de sécurité et de protection des renseignements personnels des systèmes de suivi de la condition physique, ce qui les aiderait à déterminer s'ils sont ou non à l'aise avec l'utilisation qui est faite des données sur leur condition physique.

Ce document est disponible dans la langue suivante :

Anglais

Recherche subventionnée par le Commissariat à la protection de la vie privée du Canada

Ce projet a reçu un soutien financier dans le cadre du Programme des contributions du Commissariat à la protection de la vie privée du Canada. Les opinions exprimées dans les rapports et les sommaires sont celles des auteurs et ne reflètent pas nécessairement l’opinion du Commissariat à la protection de la vie privée du Canada. Les sommaires ont été fournis par les auteurs des projets. Veuillez noter que les projets sont publiés dans leur langue d’origine.

Coordonnées

Twitter: @Open_Effect
Site Web : https://openeffect.ca

Date de modification :