Technologie
Rabbit et les Problèmes de Sécurité de l’API
Rabbit, la société derrière le Rabbit R1, a récemment révélé qu’un ancien employé, désormais licencié, aurait fourni à un groupe de hackers l’accès à ses clés API. Cela a permis à ces derniers de consulter les requêtes d’IA des utilisateurs et d’envoyer des messages via le serveur de messagerie de l’entreprise. Malgré ces révélations, les créateurs de l’appareil continuent de critiquer les « commentateurs externes » tout en vantant la sécurité de leur produit. Cependant, il semble que leurs efforts ne suffisent pas à résoudre les problèmes de cybersécurité persistants.
Rapport Accablant de Rabbitude
En juin, un collectif de hackers éthiques, se faisant appeler Rabbitude, a publié un rapport accablant affirmant avoir accédé à une grande partie du code interne de Rabbit et à plusieurs clés API codées en dur. Parmi celles-ci se trouvait une clé permettant d’accéder au service de synthèse vocale ElevenLabs, ce qui aurait pu leur donner accès à tous les messages vocaux précédemment générés par les utilisateurs. Rabbit a d’abord nié l’existence d’un problème, mais a depuis modifié ses clés API.
Dans un courriel adressé à Gizmodo, un porte-parole de Rabbit a déclaré : « En juin, un employé (qui a depuis été licencié) a divulgué des clés API à un groupe de ‘hacktivistes’ qui a publié un article affirmant avoir accès au code source interne de Rabbit et à certaines clés API. Rabbit a immédiatement révoqué et renouvelé ces clés API et a déplacé d’autres secrets dans AWS Secrets Manager. »
Accusations de Connaissance Préalable
La société continue d’affirmer que l’incident de piratage a eu lieu en juin, tandis que Rabbitude soutient avoir eu accès au code et aux clés API depuis mai. Le collectif de hackers prétend que Rabbit était au courant du problème lié aux API mais a choisi de l’ignorer jusqu’à la publication des résultats par Rabbitude le mois suivant.
Au cours d’une conversation sur Signal, un membre de Rabbitude, connu sous le nom d’Eva, a contesté la chronologie des événements avancée par Rabbit, affirmant : « Nous avons eu accès pendant plus de deux mois. » Bien qu’ils aient refusé de commenter les allégations concernant l’ancien employé pour des « raisons juridiques », ils ont critiqué Rabbit pour avoir codé en dur les clés API.
Problèmes de Sécurité Persistants
Rabbit a d’abord nié qu’il y ait eu un problème avec son code et ses clés API. Pour prouver leur accès, un membre de Rabbitude a envoyé un courriel depuis le serveur de messagerie interne de Rabbit à Gizmodo et à d’autres médias. Par la suite, Rabbit a modifié toutes les clés API pour bloquer l’accès. Dans un communiqué, la société a déclaré que « le seul abus de ces clés était l’envoi d’e-mails diffamatoires à des employés de Rabbit et à un petit nombre de journalistes soutenant le travail des hacktivistes. »
La Fiabilité des Systèmes de Rabbit
Le véritable problème ne réside pas dans le fait que les hackers aient eu accès à des données sensibles des utilisateurs de Rabbit R1, mais plutôt que n’importe quel membre de l’équipe de Rabbit pouvait accéder à ces informations. Rabbitude a souligné que l’entreprise n’aurait jamais dû coder en dur ses clés API, ce qui permet un accès trop large en interne. Rabbit semble continuer à minimiser cette question tout en dénigrant le groupe de développeurs en les qualifiant de « hacktivistes autoproclamés ».
Les problèmes se sont multipliés même après la publication des résultats par Rabbitude. Le mois dernier, Rabbit a révélé d’autres problèmes de sécurité préoccupants concernant le Rabbit R1. L’entreprise a indiqué que les réponses des utilisateurs étaient enregistrées sur leur appareil et n’étaient pas supprimées même après déconnexion de leur compte. Cela signifie que les réponses des utilisateurs pourraient être accessibles via un « jailbreak » après la vente de leurs appareils. Rabbit a décidé de limiter la quantité de données stockées sur l’appareil. Pour la première fois depuis le lancement du produit fin avril, les utilisateurs peuvent enfin choisir de réinitialiser leur appareil aux paramètres d’usine via les paramètres.
Tests de Pénétration et Réactions
Rabbit a engagé la société de cybersécurité Obscurity Labs pour réaliser un test de pénétration sur son backend et le dispositif R1 lui-même. Les tests ont été effectués du 29 avril au 10 mai, avant que les controverses de sécurité ne soient révélées. Obscurity Labs a publié son rapport cette semaine, décrivant comment ils ont pu utiliser des attaques relativement basiques pour accéder aux scripts Playwright au cœur des systèmes du R1, mais n’ont pas pu accéder au code source ou aux identifiants permettant aux utilisateurs d’accéder à leurs comptes Uber ou DoorDash.
Dans un courriel à Gizmodo, Rabbit a de nouveau affirmé que le code source de l’entreprise n’avait pas été exposé. Un porte-parole a déclaré que le rapport montre que leur sécurité « fonctionne comme prévu pour minimiser l’impact potentiel d’une attaque ». L’entreprise a également affirmé que lorsque des hackers accédaient aux systèmes de Rabbit, « ils ne pouvaient accéder à rien de substantiel, y compris des informations sensibles ou d’autres données précieuses. »
Insatisfaction des Critiques
Les critiques ne semblent pas convaincus. Le rapport ne teste pas comment Rabbit stocke les jetons de session des utilisateurs. Après des plaintes de certains critiques, Obscurity Labs a mis à jour le rapport pour indiquer que ce système était « hors du champ d’application » puisque Rabbit utilise une entreprise tierce pour garder ces données privées. Pour Rabbitude, les membres estiment que le rapport ne répond pas vraiment à leurs préoccupations.
« Je ne l’appellerais même pas un test de pénétration, » a déclaré Eva.
