contact@innovations.fr
Publier mon innovation

Des failles de sécurité déjà présentes sur le Rabbit R1

Accueil - Technologies et Avenirs - Start-ups - Des failles de sécurité déjà présentes sur le Rabbit R1
Innovationsfr
juillet 1, 2024

Des failles de sécurité déjà présentes sur le Rabbit R1

Quand l'innovation va trop vite, la sécurité ne suit pas toujours. C'est ce que vient de démontrer le cas du boîtier intelligent Rabbit R1. Sorti en fanfare il y a à peine 3 mois, ce produit de la start-up américaine éponyme affiche déjà de sérieuses vulnérabilités. Des chercheurs ont en effet réussi à mettre la main sur plusieurs clés API critiques. Un accès qui leur permet potentiellement de consulter un grand nombre de données utilisateurs.

Le Rabbit R1, un boîtier intelligent novateur mais précipité

Présenté en grande pompe au CES de Las Vegas en janvier dernier, le Rabbit R1 se voulait révolutionnaire. Avec son format compact et son interface basée sur des conversations en langage naturel, il promettait une expérience utilisateur plus intuitive. Plus besoin d'écran ni d'applications, l'intelligence artificielle se chargeait de tout.

Commercialisé 200$, le boîtier s'est arraché avec plus de 10 000 unités vendues en quelques jours seulement. Les précommandes ont été honorées dès fin mars, pour des livraisons en avril. Un succès fulgurant, peut-être trop. Car à peine le produit sur le marché, des failles de sécurité majeures ont été mises au jour.

Des clés API exposées, la porte ouverte aux données utilisateurs

Le 16 mai, soit moins de 2 mois après les premières livraisons, une équipe de chercheurs et développeurs a révélé avoir eu accès au code source du R1. Ils y ont découvert plusieurs clés API codées en dur. Un problème majeur car ces clés permettent de consulter et modifier les réponses envoyées par le boîtier, y compris celles contenant des données personnelles.

Les outils impactés sont ceux d'ElevenLabs pour la synthèse vocale, Azure pour un ancien système de voix, Yelp pour les avis et Google Maps pour les lieux. Mais le plus critique reste la clé d'ElevenLabs qui donne carrément des droits administrateur !

La clé API d'ElevenLabs donne des privilèges entiers aux personnes y ayant accès. Il serait possible d'obtenir l'historique de tous les messages de synthèse vocale, de changer des voix, de remplacer du texte par un autre...

Rapport de Rabbitude, groupe de chercheurs à l'origine des révélations

Une faille de plus avec l'accès aux e-mails des utilisateurs

Comme si cela ne suffisait pas, les chercheurs ont ensuite découvert une 5ème clé API vulnérable, liée au service d'e-mailing SendGrid. Celle-ci donne accès à l'historique complet des e-mails envoyés via la fonctionnalité d'édition de feuilles de calcul du R1. On y retrouve donc des données personnelles d'utilisateurs.

Elle permet aussi d'envoyer des e-mails depuis les adresses en @rabbit.tech. De quoi faciliter des campagnes de phishing ciblées par exemple. En plus des fuites de données, les utilisateurs pourraient donc être victimes d'arnaques.

Rabbit se veut rassurant mais le mal est fait

Face à ces révélations alarmantes, la start-up Rabbit se veut rassurante. Elle affirme avoir fait le nécessaire pour corriger les failles et révoquer les clés API concernées. Elle assure aussi que ses systèmes critiques et les données utilisateurs n'ont pas été compromis.

Mais le mal est fait. L'image du Rabbit R1 est écornée et la confiance des utilisateurs ébranlée. Cela démontre une fois de plus l'importance de la sécurité dans les objets connectés, surtout ceux traitant des données personnelles. Les failles sont d'autant plus graves que l'adoption de ce boîtier a été massive et rapide.

Au moment de la publication, nous n'avons constaté aucune compromission sur nos systèmes critiques ou sur la sécurité des données clients.

Communiqué de Rabbit suite aux révélations de failles

L'IoT, cible privilégiée des hackers

Ce cas illustre une tendance de fond. L'Internet des Objets (IoT) représente une cible de choix pour les hackers. Avec la multiplication des appareils connectés, souvent peu sécurisés, les opportunités d'intrusion sont décuplées. Une simple faille peut donner accès à tout un écosystème.

D'où l'importance pour les entreprises de sécuriser leurs produits dès la conception. Les mises à jour régulières sont aussi cruciales. Enfin, la sensibilisation des utilisateurs aux risques et aux bonnes pratiques reste primordiale.

  • 34 milliards d'appareils IoT dans le monde d'ici 2025
  • 97% du trafic IoT n'est pas chiffré
  • 1,5 milliard d'attaques visant l'IoT en 2021

Le Rabbit R1 était prometteur. Mais en précipitant sa sortie, la start-up en a oublié la sécurité. Un raccourci dangereux quand on ambitionne de révolutionner notre quotidien avec des objets ultra-connectés. Il est à espérer que ce cas serve de leçon. L'innovation ne doit pas se faire au détriment de la protection des utilisateurs.

Mots Clés:
Partager:

Steven Soarez Rédacteur Web

Passionné et dévoué, j'explore sans cesse les nouvelles frontières de l'information et de la technologie. Pour explorer les options de sponsoring, contactez-nous.

Autres Sujets

Ajouter Un Commentaire

Chercher

Beauty and lifestyle influencer

Follow my journey on all Social Media channels

Alienum phaedrum torquatos nec eu, vis detraxit periculis ex, nihilmei. Mei an pericula euripidis, hinc partem ei est.
facebook
5M+
Facebook followers
Follow Me
youtube
4.6M+
Youtube Subscribers
Subscribe Me
tiktok
7M+
Tiktok Followers
Follow Me
instagram
3.4M+
Instagram Followers
Follow Me