Les assistants IA partagent des données utilisateur sensibles

Les assistants d'intelligence artificielle (IA) collectent et partagent des données sensibles des utilisateurs, telles que des dossiers médicaux et bancaires, sans mesures de protection appropriées, conclut une étude publiée mercredi.

Des chercheurs de l'University College London au Royaume-Uni et de l'Université de Reggio de Calabre en Italie ont analysé dix assistants IA, qui doivent être téléchargés et installés sur un ordinateur ou un téléphone portable pour être utilisés, et ont découvert qu'ils collectent de nombreuses données personnelles sur l'activité en ligne des utilisateurs.

L'analyse a révélé que plusieurs assistants transmettaient le contenu complet des pages Web, y compris les informations visibles à l'écran, à leurs serveurs.

L'un des assistants IA, Merlin, a capturé des entrées de formulaire telles que des informations bancaires ou de santé, tandis que ChatGPT, Copilot, Monica et Sider ont pu déduire des attributs d'utilisateur tels que l'âge, le sexe, le revenu et les intérêts, et ont utilisé ces informations pour personnaliser les réponses même au cours de différentes sessions de navigation.

« Cette collecte et ce partage de données ne sont pas anodins. Au-delà de la vente ou du partage de données avec des tiers, dans un monde où les cyberattaques massives sont fréquentes, il n'existe aucun moyen de savoir ce qu'il advient des données de navigation une fois collectées », a averti Anna Maria Mandalari, l'une des auteures de l'étude, citée dans un communiqué de l'University College London.

Pour l'étude, les chercheurs ont simulé des scénarios de navigation réels en créant le personnage d'un homme riche de la génération du millénaire [natif du numérique] de Californie, qu'ils ont utilisé pour interagir avec les assistants tout en effectuant des tâches Internet courantes, notamment lire les actualités, faire des achats sur Amazon et regarder des vidéos sur YouTube.

Les activités dans l'espace privé ont également été incluses, telles que l'accès à un portail de santé universitaire, la connexion à un service de rencontres ou l'accès à la pornographie, dont les chercheurs ont supposé que les utilisateurs ne voulaient pas être suivis, car les données sont personnelles et sensibles.

Selon l'étude, menée aux États-Unis, certains assistants IA, dont Merlin et Sider, n'ont pas arrêté d'enregistrer l'activité lorsque l'utilisateur est passé à l'espace privé comme ils auraient dû le faire , violant ainsi les lois américaines sur la protection des données en collectant des informations confidentielles sur la santé et l'éducation.

Les auteurs de l'étude soulignent l'urgente nécessité d'une surveillance réglementaire des assistants IA afin de protéger les données personnelles des utilisateurs et recommandent aux développeurs d'adopter des principes de confidentialité dès la conception, tels que le consentement explicite de l'utilisateur pour la collecte de données.