Découvrez comment un simple passionné, en voulant connecter sa manette de console à son robot aspirateur DJI Romo, a mis au jour une faille de sécurité majeure. Accès aux caméras de 7 000 foyers, vulnérabilités critiques et une prime de 30 000 $ : retour sur l'affaire qui bouscule le géant de la tech et questionne nos certifications de sécurité.
Aspirateur robot DJI Romo Pà partir de 1 399,00 € chez Boulanger
C’est une histoire qui commence par un simple désir de bidouillage et qui se termine par un chèque de 30 000 $ (environ 27 500 €). Sammy Azdoufal, un passionné de technologie, a réussi l’impensable : accéder aux caméras de 7 000 robots aspirateurs DJI Romo à travers le monde, simplement en voulant utiliser une manette de PlayStation pour diriger son propre appareil.
Un accès « Open Bar » à l’intimité des foyers
Tout bascule le jour de la Saint-Valentin 2026, lorsque Sammy découvre une vulnérabilité critique dans l’infrastructure réseau de DJI. En utilisant des outils d’assistance au code (comme Claude Code), il réalise que la sécurité des flux vidéo est quasi inexistante.
- Le problème : Il était possible de visionner le flux vidéo en direct de n’importe quel robot Romo sans avoir besoin du code PIN de sécurité de l’utilisateur.
- L’ampleur : Environ 7 000 robots étaient potentiellement « accessibles », transformant ces aides ménagères en véritables espions télécommandés au cœur des salons et des chambres à coucher.
Le revirement de DJI : de la méfiance à la récompense
Historiquement, DJI n’a pas toujours été tendre avec les chercheurs en sécurité (on se souvient du conflit avec Kevin Finisterre en 2017). Pourtant, face à la gravité de la découverte de Sammy Azdoufal, le géant des drones a changé de stratégie.
L’entreprise a confirmé avoir versé une prime de 30 000 $ au chercheur. Bien que DJI reste flou sur la faille précise ayant déclenché ce paiement, ce geste marque une volonté de « mieux collaborer avec la communauté des chercheurs », selon un porte-parole de la marque.
État des lieux des correctifs
| Vulnérabilité | Statut actuel |
|---|---|
| Accès vidéo sans code PIN | Corrigé (fin février 2026) |
| Faille système majeure (non divulguée) | En cours (déploiement total sous 30 jours) |
| Certifications de sécurité (ETSI, UL) | Remises en question par les experts |
Le paradoxe des certifications
L’aspect le plus inquiétant de cette affaire réside dans le fait que le DJI Romo possédait déjà de nombreuses certifications de sécurité internationales (EU, ETSI, UL). Le fait qu’un utilisateur indépendant ait pu pénétrer le réseau aussi facilement soulève une question brûlante : quelle est la valeur réelle de ces labels de sécurité sur nos objets connectés ?
DJI a promis de soumettre son application et ses robots à de nouveaux audits tiers indépendants pour regagner la confiance des consommateurs.
« Nous sommes déterminés à approfondir notre engagement avec les chercheurs en sécurité et nous introduirons bientôt de nouvelles méthodes de collaboration. » — Extrait du blog officiel de DJI.
Bien que la faille soit en passe d’être totalement colmatée, l’affaire « Romo » restera comme un avertissement sérieux : dans l’ère de la maison connectée, la frontière entre confort et surveillance est parfois plus fine qu’un câble de recharge.
Aspirateur robot DJI Romo P Water Tankà partir de 1 399,00 € chez Boulanger
