Les aspirateurs robots Deebot sont au cur d’un scandale de violation de la vie privée des utilisateurs depuis des années. Ils présentent non seulement des failles critiques en matière de sécurité, mais collectent également des photos, des vidéos et des enregistrements vocaux, pris à l’intérieur des maisons des clients. Ces données sensibles sont ensuite utilisées pour former les modèles d’IA du fabricant, le géant chinois Ecovacs. Les enregistrements vocaux, les vidéos et les photos qui sont supprimés via l’application de contrôle des aspirateurs peuvent continuer à être conservés et utilisés par Ecovacs. Ce qui pose de sérieuses préoccupations en matière de sécurité.
Ecovacs collecte les données sensibles de ses utilisateurs pour former ses modèles d’IA
Ecovacs Robotics est une entreprise technologique chinoise. L’entreprise est connue pour le développement de robots domestiques, notamment les aspirateurs robots Deebot. Mais à en croire les rapports sur la sécurité des aspirateurs robots Deebot, ces appareils sont un cauchemar en matière de vie privée. Dennis Giese, chercheur en cybersécurité, a signalé ces problèmes à l’entreprise l’année dernière après avoir découvert une série d’erreurs élémentaires mettant en danger la vie privée des clients d’Ecovacs. Il déclarait : « Si leurs robots sont brisés de la sorte, à quoi ressemble leur [serveur] dorsal ? ».
Un nouveau rapport sur le sujet révèle que les appareils Deebot sont non seulement peu sûrs, mais permettent également à Ecovacs de collecter une quantité de données phénoménale sur ses clients. L’entreprise chinoise de robotique domestique a déclaré que « ses utilisateurs participaient volontairement à un programme d’amélioration des produits ». Une déclaration controversée en raison de la façon dont Ecovacs inscrit les utilisateurs à cette collecte.
Lorsque les utilisateurs s’inscrivent à ce programme via l’application mobile proposée par Ecovacs, ils ne sont pas informés des données qui seront collectées, mais la société se contente de dire ce qui suit : « ces données nous aideront à renforcer l’amélioration des fonctions du produit et de la qualité qui y est associée ». Les utilisateurs sont invités à cliquer sur « ci-dessus » pour lire les détails. Selon le rapport, aucun lien n’est disponible sur cette page.
La politique de confidentialité d’Ecovacs, disponible ailleurs dans l’application, autorise la collecte générale des données des utilisateurs à des fins de recherche. Les utilisateurs n’ont probablement aucune idée de la quantité de données collectées par les aspirateurs robots d’Ecovacs. Ces données comprennent :
- la carte 2D ou 3D de la maison de l’utilisateur générée par l’appareil ;
- les enregistrements vocaux provenant du microphone de l’appareil ;
- les photos ou vidéos enregistrées par l’appareil photo de l’appareil.
Il s’agit d’un ensemble de données très sensibles et fortement privées par les pirates informatiques. Il est également précisé que les enregistrements vocaux, les vidéos et les photos qui sont supprimés via l’application peuvent continuer à être conservés et utilisés par Ecovacs. Un porte-parole d’Ecovacs a confirmé que l’entreprise utilise les données collectées dans le cadre de son programme d’amélioration des produits pour entraîner ses modèles d’IA.
Les préoccupations en matière de protection de la vie privée relatives à cette collecte de données viennent s’ajouter aux vulnérabilités critiques dans la sécurité des aspirateurs robots Deebot, qui permettent de pirater les appareils à distance. Tout ceci jette le doute sur la capacité de l’entreprise à protéger les informations sensibles des clients.
Les données collectées par ce type d’appareils ont déjà été divulguées en ligne
Des images d’aspirateurs robots ont déjà fait l’objet de fuites. En 2022, des photos intimes prises par des appareils iRobot ont été partagées sur Facebook, dont l’une, tristement célèbre, d’une personne assise sur les toilettes. Les robots qui avaient pris ces photos faisaient, dans ce cas, partie d’un programme de test auquel les utilisateurs avaient choisi de participer. À l’époque, un porte-parole a déclaré qu’il s’agissait de « robots de développement spéciaux avec des modifications matérielles et logicielles qui ne sont pas et n’ont jamais été présentes sur les produits de consommation iRobot destinés à l’achat ».
Les appareils étaient physiquement étiquetés avec des autocollants vert vif (indiquant : « enregistrement vidéo en cours ») et les utilisateurs avaient consenti à ce qu’ils envoient des données à iRobot à des fins de recherche. Permettre à une entreprise d’utiliser un appareil domestique pour collecter les données personnelles sur l’utilisateur et sa maison est une chose. Cependant, c’en est une autre que ces photos se retrouvent sur un site de médias sociaux.
En 2022, Amazon a annoncé vouloir acquérir iRobot pour 1,7 milliard de dollars. Mais en janvier 2024, Amazon a renoncé au rachat d’iRobot, car il n’était pas certain d’obtenir le feu vert de la Commission européenne. Si l’opération avait été couronnée de succès, Amazon n’aurait pas simplement racheté un fabricant de robots domestiques, mais le géant du cloud computing se serait aussi doté d’une machine de collecte de données livrée avec un aspirateur.
Dans le cas de iRobot, il reste toujours à savoir comment les données collectées par ses aspirateurs robots Roomba sont arrivées sur les médias sociaux. Par ailleurs, des études ont révélé que les acteurs de la menace peuvent vous espionner juste avec un aspirateur robot, notamment en piratant le flux des capteurs LiDAR et les micros de ces appareils. Cela pourrait leur permettre, entre autres, de cartographier une maison et avant de la cambrioler.
D’autres appareils de la domotique équipés d’un assistant vocal s’avèrent aussi un danger pour la vie privée. En 2021, une enquête de Reviews.org sur ces assistants appareils a révélé que 56 % des personnes interrogées sont préoccupées par la collecte de données. Après avoir analysé les conditions générales d’Alexa, Google Assistant, Siri, Bixby et Cortana, il est apparu clairement qu’un certain degré de collecte de données est finalement inévitable.
Ils collectent le nom de l’utilisateur, son numéro de téléphone, sa localisation, les noms et numéros de ses contacts, son historique d’interactions et les applications qu’il utilise. Si l’utilisateur n’aime pas que ces informations soient stockées, il ne devrait probablement pas utiliser un assistant vocal. Google Assistant et Siri requièrent une autorisation avant la collecte, mais les autres assistants vocaux étudiés enregistrent ces informations par défaut.
La course à l’IA augmente davantage les besoins des entreprises en données
Dans un billet de blogue datant de 2020, deux ingénieurs de la division IA d’Ecovacs ont décrit un problème auquel ils étaient confrontés. « Construire un modèle d’apprentissage profond sans de grandes quantités de données, c’est comme construire une maison sans avoir un plan. En raison de la perspective unique de la vue au sol et des catégories d’objets peu communes, nous ne pouvons trouver aucun ensemble de données publiques qui corresponde à nos besoins. C’est pourquoi nous avons d’abord coopéré avec de nombreuses institutions pour collecter des données dans le monde entier », ont-ils expliqué.
Un porte-parole de la société a déclaré que « cet ensemble de données de prélancement ne contenait pas d’informations sur les ménages des utilisateurs réels ». Mais depuis le lancement des produits, l’entreprise a confirmé que les données des utilisateurs ayant opté pour son « programme d’amélioration des produits » étaient utilisées pour l’entraînement de ses modèles d’IA. Une pratique qui tend à se généraliser depuis l’avènement de l’IA générative.
« Lors de cette collecte de données, nous rendons anonymes les informations des utilisateurs au niveau de la machine, en veillant à ce que seules les données anonymes soient téléchargées sur nos serveurs. Nous avons mis en place des protocoles de gestion d’accès stricts pour la visualisation et l’utilisation de ces données anonymes », a déclaré le porte-parole. Mais selon les experts en cybersécurité, il existe un risque que ces données soient divulguées.
Quant à iRobot, l’entreprise fait appel à des contractants pour traiter les collectées par ses appareils domestiques dans le but de former ses modèles d’IA, ce qui augmente encore les risques de fuite de données. OpenAI, le leader actuel de la course à l’IA, fait également appel à des contractants pour étriquer les données destinées à l’entraînement de ses modèles d’IA. Les pratiques en matière de sécurité chez ces contractants laissent parfois à désirer.
Moyens de protection contre ces collectent massives de données
Des chercheurs de l’Australian Centre for Robotics (ACFR) ont mis au point une solution dont le but est de permettre aux utilisateurs d’aspirateurs robots d’éviter les fuites de données. Pour que les images sensibles restent hors de portée des pirates informatiques, ils ont mis au point une technologie qui modifie « la façon dont un robot voit le monde ». Il s’agit en effet d’une caméra qui préserve intrinsèquement la vie privée. En brouillant l’image prise par la caméra au point de la rendre méconnaissable avant même qu’elle ne soit numérisée, les attaques à distance ne peuvent en aucun cas accéder à l’imagerie brute.
Pourtant, les chercheurs affirment que l’image brouillée conserve suffisamment d’informations pour permettre au robot de naviguer. « Il n’y a aucun risque de violation de la sécurité », explique Donald Dansereau, maître de conférences à l’université de Sydney, qui a supervisé le projet. La technologie n’est pas encore prête à être commercialisée, mais Donald Dansereau est convaincu que les entreprises technologiques l’adopteront pour garantir la sécurité.
Selon lui, « il n’y a pas de solution miracle sur le plan technologique, une bonne politique et une bonne alphabétisation sont encore nécessaires ». Mais des critiques pensent que les entreprises seront réticentes à adopter cette technologie parce qu’elles ont besoin de données étiquetables pour l’entraînement de leurs modèles d’IA. Et si les images ne sont pas identifiables, elles seront inutiles pour les entreprises, qui ont besoin de données de qualité.
Tesla a besoin de recueillir les images et les vidéos capturées par ses véhicules pour entraîner les modèles d’IA de ses systèmes Autopilot et Full Self-Driving (FSD) ; OpenAI édite des morceaux de texte gratter ici et là sur le Web pour s’assurer que les modèles d’IA ne produisent pas de charabia ; les entreprises d’IA en général étiquettent les données pour que leurs IA puissent générer des images réalistes, des textes cohérents, des sons audibles, etc.
Bien que les appareils de l’Internet des objets puissent être utiles, les vulnérabilités en matière de sécurité dont ils souffrent poussent de nombreuses personnes à déclarer que la meilleure façon de préserver sa vie privée est de ne pas les introduire sa maison. « Achetez ces appareils connectés en permanence à Internet revient à introduire un espion dans sa maison », a écrit un critique.
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la quantité et des types de données collectées par les aspirateurs robots Deebot ?
Quelles sont les préoccupations en matière de vie privée liées à ces appareils ?
Cette collecte massive de données est-elle légale ? Comment les utilisateurs de ces appareils peuvent-ils préserver leur vie privée ?
Faut-il ou pas avoir des appareils connectés à Internet dans son domicile ? LInternet des objets (IdO) est-il plus une menace quil nest utile ?
Voir aussi