Problème de sécurité sur Rabbit R1 : vos données sensibles sont-elles à la merci de tous ?
Rabbit a affirmé qu'aucune donnée client n'a été divulguée. Pouvons-nous vraiment être sûrs de la sécurité de nos informations ?
Tl;dr
- Le projet Rabbitude a découvert une faille de sécurité dans le code du Rabbit R1.
- Ces clés API permettent d’accéder à toutes les réponses de l’appareil, y compris les informations personnelles.
- Les clés API authentifient l’accès à divers services sur le R1, notamment Yelp et Google Maps.
- Rabbit nie avoir été informé de la faille avant le 25 juin et affirme qu’aucune fuite de données n’a eu lieu.
Le projet Rabbitude, qui s’est formé autour de la communauté de l’assistant IA Rabbit R1, a récemment mis en lumière une faille de sécurité majeure au sein du code de l’appareil. Cette vulnérabilité rend accessible à tous les informations sensibles des utilisateurs.
Une clé pour toutes les portes
L’équipe de Rabbitude, qui a pu accéder au code source de Rabbit le 16 mai dernier, a découvert “plusieurs clés API critiques en dur”. Ces clés offrent à quiconque la possibilité de lire toutes les réponses fournies par l’appareil Rabbit R1, y compris celles contenant des informations personnelles des utilisateurs. Elles pourraient également être utilisées pour bloquer les appareils R1, modifier les réponses de l’IA ou encore changer la voix de l’appareil.
Une faille longtemps ignorée
D’après un membre de Rabbitude qui s’est exprimé sur Twitter, l’entreprise serait au courant de ce problème depuis un mois, sans avoir pris de mesures pour le résoudre. Après la publication de ces informations par Rabbitude, Rabbit a révoqué la clé API d’Elevenlabs, provoquant temporairement des dysfonctionnements sur les appareils R1.
La réaction de Rabbit
Dans une déclaration adressée à Engadget, Rabbit a affirmé n’avoir été informé d’une “prétendue violation de données” que le 25 juin. L’entreprise a assuré que son équipe de sécurité avait immédiatement commencé à enquêter, et qu’à l’heure actuelle, elle n’avait connaissance d’aucune fuite de données de clients ou de compromission de ses systèmes. Rabbit n’a cependant pas confirmé la révocation des clés API mentionnées par l’équipe de Rabbitude.
L’avis de la rédaction
Cet incident souligne l’importance d’une sécurité rigoureuse pour les appareils connectés. Les utilisateurs doivent être conscients que leurs données peuvent être vulnérables et les entreprises se doivent de faire preuve de transparence et de responsabilité en matière de protection des données. Les failles de sécurité ne sont pas à prendre à la légère, elles peuvent causer des dommages significatifs et durables.