Sears Home Services, l’un des plus grands fournisseurs de réparation d’appareils électroménagers aux États-Unis, a laissé des millions de conversations de clients accessibles au public en ligne pendant une période inconnue. Le chercheur en sécurité Jeremiah Fowler a découvert trois bases de données non sécurisées contenant 3,7 millions de journaux de discussion, 1,4 million de fichiers audio et les transcriptions correspondantes de 2024 à nos jours. Cette violation a exposé des informations personnelles sensibles, notamment des noms, des adresses, des numéros de téléphone, des détails sur les appareils et des rendez-vous programmés.
L’exposition des données et la réponse
Les données exposées comprenaient des interactions avec « Samantha », le chatbot IA de Sears alimenté par la technologie « kAIros ». Ces conversations s’étendaient à la fois en anglais et en espagnol, soulevant des inquiétudes quant aux pratiques de sécurité de Transformco, la société mère de Sears. Fowler a informé Transformco début février et les bases de données ont ensuite été sécurisées, mais la durée de l’exposition reste incertaine. Transformco a refusé de commenter l’incident malgré plusieurs demandes.
Problèmes de confidentialité au-delà des journaux de discussion
Ce qui rend cette fuite particulièrement troublante, c’est la nature des fichiers audio exposés. Certains enregistrements ont duré des heures après que les clients pensaient que les appels étaient terminés, capturant des conversations privées et le bruit de fond ambiant. Les enregistrements comprenaient des conversations sans rapport avec Sears, ce qui suggère un excès excessif dans la collecte de données. Le potentiel d’exploitation par le biais d’attaques de phishing et d’escroqueries au titre de la garantie est élevé, compte tenu des informations détaillées disponibles sur les clients.
Frustration de l’IA et expérience client
Les journaux révèlent également la frustration fréquente des clients face au chatbot IA. De nombreux utilisateurs ont rapidement demandé une assistance humaine, mais le robot a été réticent à insister sur son efficacité. Dans un cas, un client a répété : « Où est mon technicien ? » 28 fois de suite, tandis qu’un autre a qualifié le bot de « ordinateur » après des réponses répétées et inutiles. Cela met en évidence les défis liés à l’intégration de l’IA dans le service client, en particulier lorsque la technologie ne répond pas aux attentes.
Les implications plus larges des risques liés aux données liés à l’IA
Cet incident souligne les risques croissants associés au déploiement de l’IA dans des rôles en contact avec le client. Même si les entreprises recherchent des économies grâce à l’automatisation, la sécurité doit être une priorité. Carissa Véliz, professeur à l’Université d’Oxford, note que les clients n’ont souvent d’autre choix que de confier leurs données sensibles aux entreprises. Elle plaide pour une plus grande transparence, la possibilité de parler avec des agents humains et la possibilité de désactiver complètement l’enregistrement.
La fuite de données de Sears nous rappelle brutalement que même les marques établies peuvent mettre en danger la vie privée de leurs clients en mettant en œuvre une IA négligente. L’incident souligne la nécessité de protocoles de sécurité robustes et de considérations éthiques lors de l’intégration de l’IA dans les interactions avec les clients.
