L'ingénieur Harishankar Narayanan a décrit une situation inquiétante sur son blog . Il s'avère que son aspirateur intelligent iLife A11 collectait non seulement une quantité massive de données sur son domicile, mais qu'à sa grande surprise, il avait également été désactivé à distance après que son propriétaire eut bloqué la communication avec les serveurs du fabricant. Tout a commencé innocemment. Intrigué par le fonctionnement de son aspirateur robot, Harishankar a décidé d'analyser le trafic réseau émis par l'appareil. Il a rapidement découvert que celui-ci envoyait constamment des journaux et des données de télémétrie au fabricant, sans qu'il l'ait jamais autorisé. Inquiet, il a bloqué les adresses IP des serveurs de collecte de données sur son routeur, tout en autorisant l'accès aux mises à jour et aux logiciels. Au début, tout fonctionnait, mais au bout de quelques jours, l'aspirateur a cessé de fonctionner. L'appareil ne démarrait plus, comme s'il avait été désactivé à distance.

L'ingénieur a envoyé l'appareil à un centre de service agréé. Les techniciens ont facilement mis l'aspirateur en marche et n'ont constaté aucun défaut. Après avoir renvoyé l'appareil à son domicile, le même problème s'est reproduit : après quelques jours de fonctionnement, la panne est réapparue. Après plusieurs tentatives infructueuses, le centre de service a refusé de le réparer, prétextant que l'appareil n'était plus sous garantie. Harishankar a alors décidé de prendre les choses en main, en démontant l'aspirateur et en menant sa propre enquête. L'analyse matérielle a révélé que l'iLife A11 était un ordinateur sur roues sophistiqué. Il abritait un processeur AllWinner A33 fonctionnant sous TinaLinux, un microcontrôleur GD32F103 et un ensemble de capteurs : lidar, gyroscopes et encodeurs. L'ingénieur a conçu des connecteurs de circuit imprimé personnalisés, écrit des scripts Python pour contrôler l'aspirateur via l'ordinateur et même créé un joystick avec un Raspberry Pi pour piloter l'appareil manuellement. Tout fonctionnait correctement, confirmant que le problème était d'ordre logiciel et non matériel.

Harishankar a alors fait une découverte inquiétante. L'aspirateur robot avait le protocole Android Debug Bridge (ADB) activé, un outil permettant un accès complet au système sans mot de passe ni chiffrement. Le fabricant avait seulement ajouté un « protecteur » de fortune qui déconnectait ADB quelques secondes après le lancement. Pour un ingénieur expérimenté, la solution était un jeu d'enfant. Après avoir obtenu l'accès complet au système, il a découvert que l'appareil utilisait Google Cartographer pour créer une carte 3D en temps réel du domicile de l'utilisateur. Si cela est courant pour les aspirateurs robots, le problème résidait dans le fait que toutes les données étaient envoyées aux serveurs du fabricant sans le consentement explicite de l'utilisateur. La découverte la plus troublante est survenue plus tard. Harishankar a trouvé une commande d'arrêt dans les journaux système, envoyée au moment précis où son aspirateur s'est arrêté. Après avoir annulé cette commande et redémarré l'appareil, le robot s'est remis en marche. Cela ne signifiait qu'une chose : le fabricant avait bloqué l'appareil à distance, car il ne pouvait plus se connecter à ses serveurs de télémétrie. Pendant que l'aspirateur était en réparation, il avait été réinitialisé et fonctionnait correctement. De retour chez lui, lorsqu'il a réintégré le réseau bloqué, il a de nouveau été mis hors service. « Quelqu'un (ou quelque chose) a donné l'ordre à distance de mettre mon appareil hors service. Qu'il s'agisse d'une machine ou d'un humain, le résultat est le même : l'appareil s'est retourné contre son propriétaire », a écrit Harishankar.

L'ingénieur a finalement repris le contrôle de son aspirateur. Grâce à des modifications, celui-ci fonctionne désormais en mode entièrement autonome, sans aucun contact avec les serveurs du fabricant. Toutefois, son histoire soulève de sérieuses questions quant à la sécurité et à la confidentialité des données des utilisateurs d'objets connectés. Les appareils intelligents bon marché manquent souvent de puissance de traitement pour analyser eux-mêmes les données ; ils les transfèrent donc intégralement vers le cloud. Mais lorsque les données de l’utilisateur deviennent indispensables au fonctionnement de l’appareil, la frontière entre simple nettoyage et espionnage devient dangereusement floue. Enfin, Harishankar a partagé un conseil qui devrait parler à tous ceux qui possèdent des appareils intelligents à la maison : « Ne connectez jamais les appareils IoT à votre réseau Wi-Fi principal. Traitez-les comme des étrangers dans votre maison. »