Rejoignez-nous
Divers

Rabbit R1 a une faille de sécurité majeure dans son code

Pierre

Date de publication :

le

Rabbit R1 a une faille de sécurité majeure dans son code

La situation du gadget d’IA est allée de mal en pis.

« Toutes les réponses (de lapin) R1 jamais données peuvent être téléchargées », selon un groupe de recherche R1 appelé Rabbitude.

Rabbit et son dispositif d'IA R1 ont déjà été accusés de n'être rien de plus qu'une application Android intégrée à un gadget matériel, mais quelque chose de bien plus alarmant se prépare.

Le rapport (via The Verge) indique que Rabbitude a eu accès à la base de code et a découvert que les clés API étaient intégrées dans son code. Cela signifie que toute personne possédant ces clés pourrait « lire toutes les réponses que chaque r1 a jamais données, y compris celles contenant des informations personnelles, briquer tous les r1, modifier les réponses de tous les r1 (et) remplacer la voix de chaque r1 ». L'enquête a découvert que ces clés API donnaient accès à ElevenLabs et Azure pour la génération de synthèse vocale, à Yelp pour les avis et à Google Maps pour les données de localisation.

Pire encore, Rabbitude a déclaré avoir identifié la faille de sécurité le 16 mai et que Rabbit était au courant du problème. Mais « les clés API continuent d'être valides au moment de la rédaction », le 25 juin. L'accès continu aux clés API signifie que des acteurs malveillants pourraient potentiellement accéder à des données sensibles, faire planter l'ensemble du système RabbitOS et ajouter du texte personnalisé.

Le lendemain (26 juin), Rabbit a publié une déclaration sur son serveur Discord indiquant que les quatre clés API identifiées par Rabbitude ont été révoquées. « Pour l'instant, nous n'avons connaissance d'aucune fuite de données client ni d'aucune compromission de nos systèmes », a déclaré la société.

Mais l'intrigue s'épaissit. Rabbitude a également découvert une cinquième clé API intégrée au code, mais non divulguée publiquement dans le cadre de son enquête. Celui-ci s'appelle sendgrid, qui donne accès à tous les e-mails du sous-domaine r1.rabbit.tech. Au moment où Rabbitude a publié son rapport de suivi, la clé API sendgrid était toujours active. L'accès à cette clé API signifiait que Rabbitude pouvait accéder à des informations utilisateur supplémentaires dans les fonctions de feuille de calcul du R1 et même envoyer des e-mails à partir d'adresses e-mail lapin.tech.

Si vous étiez déjà sceptique quant aux capacités à moitié cuites du R1 que Kimberly Gedeon, rédactrice en chef de Indigo Buzz Tech, a imputées à « l'innovation précipitée, la désillusion et l'impétuosité » dans sa critique, cela pourrait être votre signe que Rabbit ne vaut au mieux pas son argent, et au pire, incapable de garder vos données privées.

Pierre, plus connu sous son pseudonyme "Pierrot le Fou", est un rédacteur emblématique du site Indigo Buzz. Originaire d'une petite ville du sud-ouest du Gers, cet aventurier des temps modernes est né sous le signe de l'ombre en 1986 au sommet d'une tour esotérique. Élevé dans une famille de magiciens-discount, il a développé un goût prononcé pour l'excentricité et la magie des mots dès son plus jeune âge. Pierre a commencé sa carrière de rédacteur dans un fanzine local dédié aux films d'horreur des années 80, tout en poursuivant des études de communication à l'Université de Toulouse. Passionné par l'univers du web, il a rapidement pris conscience de l'impact du numérique et des réseaux sociaux sur notre société. C'est alors qu'il a décidé de troquer sa collection de cassettes VHS contre un ordinateur flambant neuf... enfin presque.