Harishankar le reconnaît lui-même, il est « un peu paranoïaque », mais du bon genre.
Alors, lorsque cet architecte logiciel découvre que son aspirateur intelligent iLife A11 envoie en continu des paquets de données à des serveurs situés à des milliers de kilomètres, il décide de creuser l’affaire jusqu’au bout.
Dans cette enquête, racontée début octobre sur son blog GitHub, Harishankar commence par chercher à identifier les destinataires de ce flux incessant. La réponse est simple : le fabricant du robot.
Rien d’alarmant à première vue. Mais celui qui se fait appeler « CodeTiger » sur les réseaux sociaux affirme n’avoir jamais donné son consentement pour que ces journaux d’activité et ces données télémétriques soient transmis au constructeur. Il choisit alors de bloquer l’adresse IP collectant les informations, tout en maintenant la possibilité de mettre à jour son appareil.
Quelques jours plus tard, son fidèle assistant de nettoyage refuse subitement de s’allumer.
Un incroyable travail de fourmi
Commence alors un interminable va-et-vient entre Harishankar et le fabricant de l’aspirateur. Le développeur renvoie son appareil à la société, qui lui retourne en assurant que la machine est parfaitement fonctionnelle. Le robot se remet effectivement à marcher… quelques jours seulement avant de tomber de nouveau en panne.
« J’ai commencé à perdre la tête. Comment un simple blocage d’adresse IP pouvait-il désactiver un aspirateur censé fonctionner hors ligne ? », s’interroge le développeur, mi-amusé, mi-dépité.
Les échanges s’interrompent lorsque le service client lui annonce que la garantie de l’appareil est arrivée à son terme. Résigné à avoir perdu les 300 dollars investis dans son aspirateur, Harishankar décide de le démonter pour comprendre ce qui se cache derrière cette mystérieuse panne.
À l’intérieur de son iLife A11, il découvre un véritable « petit ordinateur sur roues » : un système d’exploitation Linux complet, un microcontrôleur, ainsi qu’un ensemble de capteurs destinés à mesurer la position, le mouvement et la distance.
Harishankar se lance alors dans un incroyable travail de fourmi. Il documente chaque composant, conçoit des connecteurs similaires à ceux d’origine pour relier les capteurs à un ordinateur, puis teste le tout à l’aide de sa propre interface de contrôle lui permettant de piloter manuellement l’aspirateur.
Les découvertes de l’enquête
Au fil de ses expériences, le développeur tombe sur un port USB de débogage laissé ouvert et découvre un système Android entièrement accessible, sans protection ni mot de passe. Rapidement, il obtient les droits d’administrateur et commence à explorer les fichiers internes de l’aspirateur. Il réalise alors que tous les journaux, les réglages et même les mots de passe Wi-Fi non cryptés sont envoyés au constructeur.
Plus surprenant encore, il découvre que le logiciel de cartographie Google Cartographer est embarqué dans l’appareil, lui permettant de créer une carte 3D en temps réel de son appartement.
Enfin, et c’est peut-être un des éléments les plus perturbants de cette enquête, Harishankar découvre un script modifié chargé de bloquer le lancement de l’application principale :
« L’horodatage correspondait exactement au moment où il avait cessé de fonctionner, même si je n’avais pas touché à l’application. (…) Quelqu’un – ou quelque chose – avait émis à distance un ordre de tuer. »
Pour confirmer ses soupçons, le développeur annule la modification du script et redémarre l’appareil, qui se remet subitement à fonctionner : : « Ils n’avaient pas simplement intégré une fonction de contrôle à distance. Ils l’avaient utilisée pour désactiver définitivement mon appareil. »
Pour Harishankar, une telle pratique s’apparente à des « représailles », en réponse à son refus de partager ses données : « Qu’il s’agisse d’une sanction intentionnelle ou d’une mise en conformité automatisée, le résultat était le même : un appareil grand public s’était retourné contre son propriétaire. »
Désormais, l’aspirateur de Harishankar fonctionne entièrement hors ligne. « Pas de cloud, pas de suivi, pas d’accès par des inconnus : juste un robot local qui fait ce que je lui dis. »
Le développeur curieux tient à alerter plus généralement sur ce type de pratiques et précise que le même matériel équipe d’autres appareils Xiaomi, Wyze, Viomi et Proscenic.
Il distille deux règles d’or :
- N’utilisez jamais votre réseau Wi-Fi principal pour les appareils IoT.
- Traitez-les comme des étrangers dans votre maison.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !