Avez-vous un aspirateur connecté chez vous?
De prime abord, cet appareil présente des avantages. 🧹 Autonomie de l’appareil, qui peut effectuer ses tâches seul, y compris de nuit ou si vous êtes absent, car vous pouvez le programmer. Certains vont même se recharger tout seul! Avec sa caméra , ses capteurs et son radar, l’aspirateur connecté sera capable de dresser un plan de votre logis pour le nettoyer… Avec ces mêmes composants, il peut aussi devenir une proie 🎯 pour les cybercriminels et votre pire ennemi! Voyons 3 faits divers:
1️⃣ 2017 Faille sur tous les aspirateurs connectés LG
Les experts de la société de Cybersécurité Checkpoint ont découvert la faille nommée HomeHack. Cette faille permettait à un cybercriminel de prendre le contrôle à distance 🖲️ de l’aspirateur connecté LG Horn-Bot. Cela lui permettait d’espionner son propriétaire en temps réel à distance à travers la caméra intégrée à l’appareil. 📷
ℹ️ Cette faille, qui en fait concernait tous les appareils connectés de LG, a été corrigée.
2️⃣ 2020 Fuite sur Facebook d’images prises par un aspirateur connecté de IRobot
Affaire publiée par le MIT Technology Review. Ces images étaient très intimes. Il y avait notamment celle d’une femme sur son siège de WC! 😮 L’appareil incriminé était de marque Roomba.
😅 Le constructeur IRobot a expliqué que cet appareil était un prototype, que la femme a accepté ce test moyennant finances, et que les données étaient recueillies pour entraîner l’IA utilisée. IRobot a confié cette partie à un sous-traitant et a mis fin au contrat avec ce dernier depuis.
👎IRobot a toutefois refusé de montrer les conditions du contrat avec la femme concernée. Il n’y a aucune nouvelle sur la réparation du préjudice de cette dernière. Et le plus beau pour la fin: IRobot a été racheté par… Amazon. 😈 Amazon vend par ailleurs des assistants vocaux nommés Alexa, accusés d’enregistrer toutes les conversations de ses propriétaires…
3️⃣ 2024 Vulnérabilités sur les aspirateurs connectés de Ecovacs Robotics
Lors de la conférence annuelle sur la cybersécurité 🛡️ nommée DEFCON 32, Dennis Giese et Braelynn, deux chercheurs américains ont publié un rapport. Dans ce dernier, ils expliquent qu’il est possible de prendre le contrôle à distance des aspirateurs connectés Ecovacs Robotics. De complètement contrôler leur caméra, leur micro, et d’accéder aux plans des locaux nettoyés. 💣 Avec un simple smartphone 📱 et une liaison bluetooth pouvant fonctionner à plus de 100m! Ils expliquent que Ecovacs Robotics, conscient de certaines vulnérabilités, n’a pas pu corriger toutes les vulnérabilités découvertes et n’a jamais répondu à leurs sollicitations.
👎 Autres détails bien dérangeants, la prise de contrôle sur les aspirateurs ne laisse pas de traces. Il n’y a aucune alerte émise signalant un éventuel espionnage. Par ailleurs, la politique de confidentialité d’Ecovacs Robotics est très floue quand aux données prélevées et leur utilisation.
4️⃣ Conclusion et conseils
Vous l’aurez compris, la sécurité de ces appareils n’est vraiment pas au point.
😠 Il est tristement récurrent et scandaleux de voir l’argument « nous avons besoin de ces données pour entraîner l’IA de nos appareils ». Non seulement on peut se faire espionner chez soi avec ces appareils, mais en plus ils enregistrent quantités de choses qu’ils envoient au constructeur sur le cloud. Et l’on peut légitimement se demander quel est l’usage et la sécurité de ces informations nous concernant. Une chose est sûre: vous n’avez plus aucun contrôle de vos données qui sont parties sur internet.
💡 Un conseil est de bien veiller à ce que l’aspirateur connecté reçoive bien toutes ses mises à jour. Mais un meilleur conseil est de ne pas avoir d’appareil de ce type!
🔎 Si vous tenez vraiment à acheter un aspirateur connecté, vérifiez par avance la politique de confidentialité et les sécurités mises en place par le constructeur.
A mon sens, seule l’évolution de la législation européenne pourra enfin mettre fin à l’amateurisme des constructeurs d’objets connectés.
Vous connaissez maintenant les risques attachés à ces appareils. Toujours désireux d’en acheter un?
5️⃣ Sources.
https://dontvacuum.me/talks/DEFCON32/DEFCON32_reveng_hacking_ecovacs_robots.pdf
