Tuya Smart dans le collimateur des sénateurs américains

Prises et ampoules connectées, thermostats intelligents, caméras de sécurité, thermostats connectés, climatisation ou ventilateurs… Tuya est partout. Leader mondial de la Smart Home, l'entreprise chinoise vend sa plateforme IoT à plus de 5000 marques à travers le monde. Selon la société, ce sont plus de 116.5 millions d'objets connectés qui utiliseraient sa technologie dans plus de 220 pays. Des chiffres qui donnent le tournis et qui inquiètent aujourd'hui les sénateurs américains.

Trois d'entre eux ont en effet demandé à Janet Yellen, secrétaire au Trésor, de sanctionner le poids lourd de l'Internet des objets, qualifiant la société de menace pour la sécurité nationale et l'accusant de porter atteinte à la vie privée des Américains.

Introduite au New York Stock Exchange en mars denier, Tuya Inc. est actuellement dans la tourmente, sa cotation accusant une forte baisse en bourse où le précédent Huawei n'est pas sans inquiéter…

Tuya : une menace pour la cybersécurité des Américains?

C'est en tout cas ce qu'affirment les sénateurs républicains Marco Rubio, Rick Scott et Tom Cotton qui demandent Washington de limiter ou interdire d'affaires Tuya aux États-Unis. En cause? Une récente loi de Pékin obligeant les entreprises chinoises à remettre toutes les données collectées sur demande du gouvernement.

Selon leur rapport, “[…] il existe également une réalité plus fondamentale selon laquelle, en tant qu'entreprise, Tuya est obligée de se conformer aux ordres du PCC [Parti communiste chinois], y compris les demandes de partage des données des utilisateurs américains et autres avec le gouvernement chinois.

Le sénateur républicain Marco Rubio soulève par ailleurs que des “experts en cybersécurité et en sécurité nationale ont déjà soulevé des préoccupations importantes concernant le manque de protection de Tuya sur les données des utilisateurs”.

De son côté, Tuya a déclaré au South China Morning Post que les affirmations des sénateurs étaient “sans fondement”, la société isolant toutes les données des utilisateurs au niveau régional, y compris aux États-Unis. C'est en tout cas a priori le cas en Europe où les serveurs des applications Tuya Smart sont pour partie hébergés chez Amazon Web Services en Allemagne et semblent respectueux du RGPD.

“Tuya n'a jamais reçu de demande du gouvernement d'un pays pour partager les données des utilisateurs d'un autre pays”, a ajouté le porte-parole de l'entreprise, précisant que la société entendait bien prouver sa bonne foi. Reste que plusieurs rapports d'experts en cybersécurité ne sont pas sans soulever des interrogations…

Des experts soulignent de gros problèmes de confidentialité

En mars 2021, Dark3 Inc. avait en effet étudié 10 appareils domestiques intelligents vendus sur le marché américain à des prix allant de 20 à 100 dollars. Vince Crisler, fondateur et CEO de la société, a expliqué à VOA News que ses équipes avaient alors découvert de nombreuses failles de sécurité dans les applications Smart Life et Tuya Smart.

“Chaque appareil IoT que nous avons examiné avait une connexion commerciale avec la Chine et chaque produit a été observé en train de communiquer avec l'infrastructure en Chine, sans notre autorisation” a ainsi déclaré Crisler, avant d'ajouter “il y avait beaucoup de risques de fuites d'informations. Tuya possède toute la chaîne… et il n'y a aucune idée de la façon dont ils utilisent ces données.”

Les sénateurs demandent des sanctions

Marco Rubio et ses collègues, connus pour leur véhémence envers la Chine, demandent que des sanctions soient prises à l'encontre Tuya Inc. et souhaitent qu'à l'image de Huawei sous la présidence de Donald Trump, le géant chinois de l'IoT soit ajouté à la liste des entreprises du complexe militaro-industriel chinois, comme le prévoit l'Internet of Things Cybersecurity Improvement Act.

Dès lors, un décret signé par l'ancien président en 2019 et conforté par l'actuel président Joe Biden en juin dernier, pourrait interdire aux Américains d'investir dans Tuya Inc. Une situation qui serait plus que problématique pour la société qui a effectué une levée de 915 millions de dollars au moment de son introduction en bourse auprès du chinois Tencent Holdings, mais également de la société de capital-risque américaine New Enterprise Associates (NEA)…

Fasciné par Alexa depuis le jour où je l'ai reçue en bêta test, je me suis peu à peu passionné pour le sujet, avant de me décider à aller plus loin en créant un site avec Jean-Christophe. Une activité qui me permet d'étancher ma soif de nouvelles technologies et de partager mes découvertes sur la plus sympathique des communautés : Les Alexiens.