Les aspirateurs robots chinois Deebot peu sûrs collectent des photos et des enregistrements vocaux pour entraîner leur IA,

Les données comprennent également la cartographie 2D ou 3D de votre maison

Les aspirateurs robots chinois Deebot peu sûrs collectent des photos et des enregistrements vocaux pour entraîner leur IA
les données comprennent également la cartographie 2D ou 3D de votre maison

Les aspirateurs robots Deebot sont au cœur d'un scandale de violation de la vie privée des utilisateurs depuis des années. Ils présentent non seulement des failles critiques en matière de sécurité, mais collectent également des photos, des vidéos et des enregistrements vocaux, pris à l'intérieur des maisons des clients. Ces données sensibles sont ensuite utilisées pour former les modèles d'IA du fabricant, le géant chinois Ecovacs. Les enregistrements vocaux, les vidéos et les photos qui sont supprimés via l'application de contrôle des aspirateurs peuvent continuer à être conservés et utilisés par Ecovacs. Ce qui pose de sérieuses préoccupations en matière de sécurité.

Ecovacs collecte les données sensibles de ses utilisateurs pour former ses modèles d'IA

Ecovacs Robotics est une entreprise technologique chinoise. L'entreprise est connue pour le développement de robots domestiques, notamment les aspirateurs robots Deebot. Mais à en croire les rapports sur la sécurité des aspirateurs robots Deebot, ces appareils sont un cauchemar en matière de vie privée. Dennis Giese, chercheur en cybersécurité, a signalé ces problèmes à l'entreprise l'année dernière après avoir découvert une série d'erreurs élémentaires mettant en danger la vie privée des clients d'Ecovacs. Il déclarait : « Si leurs robots sont brisés de la sorte, à quoi ressemble leur [serveur] dorsal ? ».


Un nouveau rapport sur le sujet révèle que les appareils Deebot sont non seulement peu sûrs, mais permettent également à Ecovacs de collecter une quantité de données phénoménale sur ses clients. L'entreprise chinoise de robotique domestique a déclaré que « ses utilisateurs participaient volontairement à un programme d'amélioration des produits ». Une déclaration controversée en raison de la façon dont Ecovacs inscrit les utilisateurs à cette collecte.

Lorsque les utilisateurs s'inscrivent à ce programme via l'application mobile proposée par Ecovacs, ils ne sont pas informés des données qui seront collectées, mais la société se contente de dire ce qui suit : « ces données nous aideront à renforcer l'amélioration des fonctions du produit et de la qualité qui y est associée ». Les utilisateurs sont invités à cliquer sur « ci-dessus » pour lire les détails. Selon le rapport, aucun lien n'est disponible sur cette page.

La politique de confidentialité d'Ecovacs, disponible ailleurs dans l'application, autorise la collecte générale des données des utilisateurs à des fins de recherche. Les utilisateurs n'ont probablement aucune idée de la quantité de données collectées par les aspirateurs robots d'Ecovacs. Ces données comprennent :

• la carte 2D ou 3D de la maison de l'utilisateur générée par l'appareil ;
• les enregistrements vocaux provenant du microphone de l'appareil ;
• les photos ou vidéos enregistrées par l'appareil photo de l'appareil.

Il s'agit d'un ensemble de données très sensibles et fortement privées par les pirates informatiques. Il est également précisé que les enregistrements vocaux, les vidéos et les photos qui sont supprimés via l'application peuvent continuer à être conservés et utilisés par Ecovacs. Un porte-parole d'Ecovacs a confirmé que l'entreprise utilise les données collectées dans le cadre de son programme d'amélioration des produits pour entraîner ses modèles d'IA.

Les préoccupations en matière de protection de la vie privée relatives à cette collecte de données viennent s'ajouter aux vulnérabilités critiques dans la sécurité des aspirateurs robots Deebot, qui permettent de pirater les appareils à distance. Tout ceci jette le doute sur la capacité de l'entreprise à protéger les informations sensibles des clients.

Les données collectées par ce type d'appareils ont déjà été divulguées en ligne

Des images d'aspirateurs robots ont déjà fait l'objet de fuites. En 2022, des photos intimes prises par des appareils iRobot ont été partagées sur Facebook, dont l'une, tristement célèbre, d'une personne assise sur les toilettes. Les robots qui avaient pris ces photos faisaient, dans ce cas, partie d'un programme de test auquel les utilisateurs avaient choisi de participer. À l'époque, un porte-parole a déclaré qu'il s'agissait de « robots de développement spéciaux avec des modifications matérielles et logicielles qui ne sont pas et n'ont jamais été présentes sur les produits de consommation iRobot destinés à l'achat ».


Les appareils étaient physiquement étiquetés avec des autocollants vert vif (indiquant : « enregistrement vidéo en cours ») et les utilisateurs avaient consenti à ce qu'ils envoient des données à iRobot à des fins de recherche. Permettre à une entreprise d'utiliser un appareil domestique pour collecter les données personnelles sur l'utilisateur et sa maison est une chose. Cependant, c'en est une autre que ces photos se retrouvent sur un site de médias sociaux.

En 2022, Amazon a annoncé vouloir acquérir iRobot pour 1,7 milliard de dollars. Mais en janvier 2024, Amazon a renoncé au rachat d'iRobot, car il n'était pas certain d'obtenir le feu vert de la Commission européenne. Si l'opération avait été couronnée de succès, Amazon n'aurait pas simplement racheté un fabricant de robots domestiques, mais le géant du cloud computing se serait aussi doté d'une machine de collecte de données livrée avec un aspirateur.

Dans le cas de iRobot, il reste toujours à savoir comment les données collectées par ses aspirateurs robots Roomba sont arrivées sur les médias sociaux. Par ailleurs, des études ont révélé que les acteurs de la menace peuvent vous espionner juste avec un aspirateur robot, notamment en piratant le flux des capteurs LiDAR et les micros de ces appareils. Cela pourrait leur permettre, entre autres, de cartographier une maison et avant de la cambrioler.

D'autres appareils de la domotique équipés d'un assistant vocal s'avèrent aussi un danger pour la vie privée. En 2021, une enquête de Reviews.org sur ces assistants appareils a révélé que 56 % des personnes interrogées sont préoccupées par la collecte de données. Après avoir analysé les conditions générales d'Alexa, Google Assistant, Siri, Bixby et Cortana, il est apparu clairement qu'un certain degré de collecte de données est finalement inévitable.

Ils collectent le nom de l'utilisateur, son numéro de téléphone, sa localisation, les noms et numéros de ses contacts, son historique d'interactions et les applications qu'il utilise. Si l'utilisateur n'aime pas que ces informations soient stockées, il ne devrait probablement pas utiliser un assistant vocal. Google Assistant et Siri requièrent une autorisation avant la collecte, mais les autres assistants vocaux étudiés enregistrent ces informations par défaut.

La course à l'IA augmente davantage les besoins des entreprises en données

Dans un billet de blogue datant de 2020, deux ingénieurs de la division IA d'Ecovacs ont décrit un problème auquel ils étaient confrontés. « Construire un modèle d'apprentissage profond sans de grandes quantités de données, c'est comme construire une maison sans avoir un plan. En raison de la perspective unique de la vue au sol et des catégories d'objets peu communes, nous ne pouvons trouver aucun ensemble de données publiques qui corresponde à nos besoins. C'est pourquoi nous avons d'abord coopéré avec de nombreuses institutions pour collecter des données dans le monde entier », ont-ils expliqué.


Un porte-parole de la société a déclaré que « cet ensemble de données de prélancement ne contenait pas d'informations sur les ménages des utilisateurs réels ». Mais depuis le lancement des produits, l'entreprise a confirmé que les données des utilisateurs ayant opté pour son « programme d'amélioration des produits » étaient utilisées pour l'entraînement de ses modèles d'IA. Une pratique qui tend à se généraliser depuis l'avènement de l'IA générative.

« Lors de cette collecte de données, nous rendons anonymes les informations des utilisateurs au niveau de la machine, en veillant à ce que seules les données anonymes soient téléchargées sur nos serveurs. Nous avons mis en place des protocoles de gestion d'accès stricts pour la visualisation et l'utilisation de ces données anonymes », a déclaré le porte-parole. Mais selon les experts en cybersécurité, il existe un risque que ces données soient divulguées.

Quant à iRobot, l'entreprise fait appel à des contractants pour traiter les collectées par ses appareils domestiques dans le but de former ses modèles d'IA, ce qui augmente encore les risques de fuite de données. OpenAI, le leader actuel de la course à l'IA, fait également appel à des contractants pour étriquer les données destinées à l'entraînement de ses modèles d'IA. Les pratiques en matière de sécurité chez ces contractants laissent parfois à désirer.

Moyens de protection contre ces collectent massives de données

Des chercheurs de l'Australian Centre for Robotics (ACFR) ont mis au point une solution dont le but est de permettre aux utilisateurs d'aspirateurs robots d'éviter les fuites de données. Pour que les images...