Sears existe encore, au moins sous la forme de Sears Home Services, la branche qui répare les appareils électroménagers. Cette division utilise un assistant téléphonique et un chatbot appelés Samantha, propulsés par une technologie interne nommée kAIros. Le problème, c'est que des chercheurs en sécurité ont découvert que des conversations avec ce système étaient accessibles publiquement sur le web.

Ce qui a été trouvé

Le chercheur Jeremiah Fowler a découvert, début février, trois bases de données publiques contenant dénormes volumes de données liées aux interactions avec Samantha. Voici l'essentiel :

  • 3,7 millions de journaux de chat.
  • 1,4 million de fichiers audio et de transcriptions en texte clair couvrant la période 2024 à 2025.
  • Un fichier CSV isolé contenant 54 359 conversations complètes.
  • Contenu en anglais et en espagnol.
  • Informations personnelles incluses, telles que noms, numéros de téléphone, adresses, appareils possédés, rendez-vous de livraison et détails de réparations.

Exemples concrets

Dans plusieurs journaux, le chatbot se présente explicitement : « Samantha, agent vocal virtuel IA pour Sears Home Services ». Les fichiers montrent des échanges où les clients donnent des détails qui pourraient servir à des arnaques ciblées, par exemple des escroqueries sur les garanties ou des tentatives d'hameçonnage fondées sur la situation domestique des personnes.

Des enregistrements qui vont bien au-delà de la conversation

Un élément particulièrement inquiétant : certains enregistrements continuent d'enregistrer des heures d'audio après la fin apparente de la conversation. Fowler a trouvé des fichiers audio qui durent jusqu'à quatre heures, capturant du son ambiant, la télévision et des discussions privées. Ces enregistrements prolongés peuvent contenir des informations sensibles que les clients pensaient privées.

Quand le chatbot ne sait pas répondre

Les fichiers révèlent aussi la frustration des utilisateurs. Le bot promet souvent de résoudre le problème sans attente, mais finit parfois par admettre une erreur et transférer vers un agent humain. Dans un exemple, au bout de deux minutes d'un appel de 76 minutes, le bot affirme pouvoir tout gérer, puis quelques minutes plus tard demande à transférer l'appel à un agent humain à cause d'une erreur.

Un transcript commençant vers 11 h et se terminant vers 13 h 30 montre une personne répétant « Où est mon technicien ? » vingt-huit fois, puis lançant « Vous êtes un ordinateur, vous êtes un ordinateur, vous êtes un ordinateur » après plusieurs réponses insatisfaisantes.

Alertes et réactions

Après la découverte, Fowler a contacté Transformco, la société qui possède Sears et Sears Home Services. Les bases de données ont été rendues inaccessibles rapidement, selon lui. Il reste toutefois incertain combien de temps les données ont été exposées et si d'autres personnes y ont eu accès.

Fowler rapporte aussi qu'une réponse automatique l'a mis en relation avec un responsable présenté comme manager du chatbot Samantha, mais il n'a finalement pas reçu de suivi réel de cette personne.

Pourquoi c'est problématique

  • Ces données permettent des attaques d'hameçonnage très ciblées, car elles contiennent des éléments personnels et des détails sur la vie domestique.
  • Les enregistrements prolongés peuvent capturer des conversations privées et des éléments sensibles auxquels les clients ne s'attendent pas à exposer publiquement.
  • La situation souligne les risques pour la confiance et la réputation quand des entreprises utilisent des bots pour gérer des interactions sensibles.

« La chose à retenir, c'est qu'il s'agit de données réelles concernant de vraies personnes, » dit Jeremiah Fowler. « Les entreprises peuvent économiser de l'argent en déployant de l'IA, mais elles ne doivent pas prendre de raccourcis pour protéger ces données. Au minimum, ces fichiers auraient dû être protégés par mot de passe et chiffrés. »

Carissa Véliz, auteure et professeure associée, ajoute que les entreprises devraient offrir des choix aux clients, par exemple la possibilité de parler à un humain et la possibilité de ne pas être enregistré. « À long terme, il faut que les clients se sentent en sécurité et à l'aise, pas aliénés ou exploités, » précise-t-elle.

Ce qu'il faut retenir

Les entreprises qui intègrent l'IA aux services client doivent sécuriser correctement les données et informer clairement les utilisateurs. Les clients, eux, devraient pouvoir choisir de parler à une personne et de refuser l'enregistrement de leur conversation. La découverte chez Sears illustre que, sans ces protections, des interactions qui semblent triviales peuvent exposer des informations personnelles et des moments privés.