La start-up californienne Rabbit a créé une petite sensation en janvier dernier à Las Vegas, lors du Consumer Electronics Show (CES). Elle y présentait son petit boîtier R1, équipé d’un système d’exploitation conçu autour d’une interface en langage naturel. De la taille d’une pile de Post-it et ultra-léger (115 grammes), ce petit appareil était présenté par ses développeurs comme étant orienté vers une « une expérience intuitive sans application grâce à la puissance de l’intelligence artificielle ». Plus besoin de télécharger et d’utiliser des applications : Rabbit OS s’en charge.
Lire et éditer les réponses, remplacer les voix…
Au prix de 200 dollars, le boîtier s’est vendu à plus de 10 000 unités en quelques jours seulement. Rabbit a envoyé son premier lot de précommandes R1 fin mars, les expéditions étant attendues fin avril. Mais déjà, des failles de sécurité apparaissent : le 16 mai, une équipe de chercheurs et de développeurs appelée Rabbitude a eu accès à la base de code du dossier et a obtenu plusieurs clés API critiques codées en dur.
Il s’agit d’un défaut majeur, car l’accès à ces clés API permet à n’importe qui de lire toutes les réponses données par R1, y compris celles contenant des données personnelles, de modifier les réponses de toutes les cases, voire de remplacer sa voix. Dans son rapport publié le 25 juin, Rabbitude précise que ces clés API concernent les outils développés par ElevenLabs pour sa technologie de synthèse vocale, Azure pour son ancien système de synthèse vocale, Yelp pour la recherche d’avis et Google Maps pour la recherche. pour les avis. lieux.
La clé ElevenLabs donne accès aux privilèges d’administrateur
Fin mars, Rabbit a effectivement annoncé son partenariat avec la start-up new-yorkaise ElevenLabs. L’objectif était de créer des outils audio IA, avec une voix alimentée par ElevenLabs répondant aux commandes vocales effectuées par les utilisateurs. Problème : La clé API ElevenLabs donne tous les privilèges aux personnes qui y ont accès. Il serait alors possible à chacun d’obtenir l’historique de tous les messages de synthèse vocale, de changer de voix, de remplacer du texte par un autre si les mots ou les phrases ont la même prononciation… et même de supprimer des voix. , ce qui rendrait le système d’exploitation hors service.
Le groupe de chercheurs et de développeurs affirme que la plupart des clés ont été révoquées, mais pas toutes : dans un article du 26 juin, Rabbitude a révélé l’existence d’une cinquième clé API codée en dur et toujours active, pour SendGrid. Cette clé donne accès à un historique complet des e-mails envoyés pour les fonctionnalités d’édition de feuille de calcul du R1, y compris les données utilisateur. Il permet également d’envoyer des e-mails à partir d’adresses e-mail « rabbit.tech ».
Aucune donnée client n’a encore été volée, déclare Rabbit
La start-up a de son côté indiqué sur son site qu’elle avait réalisé un inventaire de tous les « secrets » actuellement exploités, et qu’elle avait commencé à les supprimer. « Nous examinons les journaux d’audit de nos plateformes SaaS pour vérifier tout vol de données clients.explique l’entreprise basée à Los Angeles. Au moment de la publication de cette mise à jour [le 28 juin à 3 h du matin]« Nous n’avons constaté aucune atteinte à nos systèmes critiques ou à la sécurité des données clients. »
Choisi pour toi
