Un robot aspirateur qui tourne en silence à 14h un mardi, pendant que vous télétravaillez en pyjama dans le salon. Il cartographie, il observe, il transmet. Ce qu’il envoie exactement et à qui : voilà ce que la plupart des propriétaires ignorent totalement.
Les robots aspirateurs n’aspirent pas que de la poussière. Pour accomplir leur tâche ménagère, ils collectent des informations permettant de retracer le plan du domicile, la surface, l’agencement des pièces. C’est la mécanique de base, celle que les fabricants assument. Mais la réalité des données collectées va souvent bien au-delà d’une simple carte des obstacles.
À retenir
- Les robots aspirateurs collectent des données bien au-delà de la simple cartographie
- Des images intimes de testeurs ont fuité sur Facebook via la chaîne d’approvisionnement en données
- Le capteur LiDAR peut techniquement être détourné pour espionner vos conversations
Ce que votre robot voit vraiment
Bon nombre de robots aspirateurs génèrent des cartographies détaillées des logements et peuvent, grâce à une caméra intégrée, diffuser des vidéos en temps réel pour la surveillance des espaces, nécessitant de ce fait une connexion internet. Ajoutez à cela les capteurs LiDAR, qui projettent un laser en continu pour naviguer avec précision, et vous obtenez un tableau bien plus complet qu’une simple photo de votre parquet.
Les appareils sont dotés de caméras pour reconnaître les meubles et autres objets. Ces informations pourraient être exploitées à l’insu des propriétaires par des algorithmes qui déduiraient le nombre de personnes au foyer, la présence d’enfants, et d’autres informations relatives à une vie très intime. C’est comme si un locataire invisible dressait chaque semaine un inventaire de votre appartement.
Les aspirateurs robotisés peuvent apprendre votre routine quotidienne en fonction du programme de nettoyage que vous avez défini. De même, les plans des maisons sauvegardées révèlent la taille et la conception d’une maison, ce qui peut suggérer des niveaux de revenus et d’autres informations sur les conditions de vie d’une personne. : votre robot sait si vous rentrez à 18h ou à 21h. Il sait si vous avez une chambre d’enfant. Et tout ça finit dans un cloud, souvent situé hors d’Europe.
Dans certaines situations, les fabricants collectent des informations telles que les rapports d’erreur, la fréquence d’utilisation, les préférences de nettoyage et les données cartographiques pour affiner leurs services. La formule est propre. La réalité, moins.
L’affaire Roomba : quand les images intimes fuient sur Facebook
Le cas le plus documenté reste celui d’iRobot. Les images n’avaient pas été prises par un humain, mais par des versions de développement de l’aspirateur Roomba J7. Elles avaient ensuite été envoyées à Scale AI, une startup sous-traitante chargée d’annoter des données audio, photo et vidéo pour entraîner l’intelligence artificielle. Le problème : classées par des travailleurs indépendants au Venezuela, ces données privées ont ensuite été divulguées en violation du consentement des consommateurs sur des groupes privés de Facebook et Discord.
Parmi les images récupérées par le MIT Technology Review : des photos d’un mineur de huit ou neuf ans et d’une femme assise sur les toilettes, son short descendu à mi-cuisse. iRobot a affirmé que ces images provenaient uniquement de testeurs rémunérés, pas de clients ordinaires. Mais les participants se sont sentis trompés. Selon Albert Fox Cahn, directeur du Surveillance Technology Oversight Project, il y a matière à s’interroger sur la sincérité de l’entreprise lorsque des personnes signent pour ce type de surveillance très invasive sans jamais comprendre pleinement ce qu’elles acceptent.
Ce scandale illustre une mécanique systémique : ces images révèlent toute une chaîne d’approvisionnement en données, avec de nouveaux points desquels des informations personnelles pourraient fuiter, dont peu de consommateurs ont conscience. Ce n’est pas qu’un bug. C’est l’architecture même de l’entraînement des IA modernes.
Le LiDAR peut même écouter vos conversations
Le vrai coup de théâtre vient de la recherche académique. Des chercheurs de l’Université du Maryland et de l’Université nationale de Singapour ont publié des travaux détaillant comment ils ont pu lancer une attaque ingénieuse permettant d’espionner furtivement des personnes à leur insu, sans qu’aucun véritable microphone acoustique ne soit intégré à l’aspirateur.
Le capteur LiDAR se comporte comme un scanner et, même s’il n’enregistre pas les sons, il capte des signaux. Même si c’est imperceptible pour un humain, les ondes sonores font vibrer les objets, et ces vibrations provoquent de légères variations de la lumière réfléchie. Les chercheurs ont alors entraîné leurs systèmes avec de l’apprentissage automatique pour filtrer le bruit et améliorer le signal reçu, à des fins d’écoute clandestine. C’est précisément la technique des microphones laser utilisée depuis la Guerre froide, miniaturisée et embarquée dans votre salon.
La bonne nouvelle, relativisée : la plupart des surfaces ne reflètent pas aussi bien les signaux que les fenêtres et les miroirs, ce qui réduit la qualité du signal. De plus, les limitations matérielles des robots signifient que la fréquence d’échantillonnage reste inférieure à celle requise pour capturer un audio parfaitement intelligible. Techniquement exigeant, donc peu probable dans une attaque ordinaire. Mais possible.
Et début 2025, une autre faille a mis le sujet sous les projecteurs : un ingénieur logiciel a découvert par hasard une vulnérabilité critique dans l’infrastructure cloud de DJI. Alors qu’il développait une application pour contrôler son aspirateur via un joystick, il a obtenu un accès non désiré aux flux vidéo, aux micros et aux plans d’étage de milliers de foyers à travers le monde. Sept mille appareils dans vingt-quatre pays. Exposés. Par accident.
Ce que vous pouvez faire concrètement
L’usage de votre objet connecté génère une grande quantité de données qui peuvent être stockées sur internet. De plus, certains fabricants qui ajoutent une connectivité à leurs produits ne disposent pas toujours d’une vraie culture de la sécurité informatique. Le RGPD encadre théoriquement tout ça en Europe, et en cas de fuite, les fabricants ont l’obligation d’en informer la CNIL ainsi que les utilisateurs concernés dans un délai de 72 heures. Mais la régulation arrive toujours après la faille.
Côté pratique, plusieurs leviers existent. Connecter votre robot aspirateur à un réseau Wi-Fi invité séparé est une astuce simple et efficace pour isoler l’appareil du reste de votre réseau domestique. Certains modèles doivent être configurés spécifiquement pour ne pas envoyer de données au serveur du fabricant. D’autres permettent d’interdire l’accès à certaines pièces, comme une chambre ou une salle de bains.
La CNIL conseille de privilégier un assistant vocal muni d’un bouton de désactivation physique du microphone, offrant ainsi un contrôle total sur les moments d’activation. La logique vaut pour tous les appareils connectés qui traînent dans un couloir : éteindre l’objet quand il ne sert pas reste le moyen le plus sûr d’éviter de capter des données sensibles.
Le vrai problème reste la transparence des conditions d’utilisation. Lors d’une analyse menée pour la CNIL, des chercheurs ont remarqué que sur les objets les moins onéreux, on observe une absence de mesures de sécurité, et que sur les objets plus haut de gamme, c’est principalement au niveau de l’information des personnes que des questions se posent. Traduction : même en payant cher, vous n’êtes pas toujours mieux protégé, juste moins clairement informé.
La prochaine génération de robots domestiques complique encore l’équation. Les robots domestiques deviennent plus sophistiqués, avec des entreprises qui développent des robots humanoïdes capables de vivre dans un foyer et d’y effectuer des tâches. Pour fonctionner, ces machines auront besoin d’un accès intime et permanent à notre environnement. Pour un attaquant, chaque nouvelle donnée collectée représente une opportunité. La question n’est plus de savoir si votre robot collecte des données. C’est de savoir qui, en dehors de vous, y a accès ce soir.
Sources : futura-sciences.com | futura-sciences.com