Jusqu’où peut-on faire confiance aux objets connectés qui observent l’intérieur de nos maisons ? Un développeur a découvert, par hasard, un problème de droits d’accès côté serveurs qui lui aurait permis de "voir" et de piloter à distance des milliers de robots aspirateurs DJI Romo répartis dans le monde, avec accès à des flux caméra et aux données de cartographie. The Verge raconte cette étonnante histoire et DJI assure avoir colmaté la brèche.
Tout part d’une idée de techos : contrôler un robot aspirateur avec une manette de PS5 « pour le fun ». C’est ce que raconte The Verge dans ce papier passionnant mais flippant au sujet de Sammy Azdoufal, un développeur qui a mis malgré lui le doigt sur un problème de sécurité potentiellement majeur autour du DJI Romo, le robot aspirateur connecté de DJI. Et tout ça sans chercher à pirater quoi que ce soit !
Le DJI Romo joue la carte de la transparence, avec une coque qui laisse tout apparaître. On n’imaginait pas que cette transparence allait jusqu’aux données privées !
Le site tech indique effectivement que l’application maison mise en place par le développeur s’est mise à dialoguer avec l’infrastructure cloud de DJI… sauf qu’au lieu de ne recevoir que les données de son appareil, elle a vu apparaître des milliers d’autres robots partout dans le monde.
Des milliers d’appareils “visibles” via le cloud
Dans la démonstration décrite par The Verge, quelque 6700 robots répartis dans plus de 20 pays auraient “répondu” au même client, remontant en continu des informations de fonctionnement : identifiant, état de nettoyage, déplacements, retour à la base, obstacles rencontrés… le tout via des messages envoyés toutes les quelques secondes.
Le journaliste explique avoir vu les robots apparaître progressivement sur une carte du monde, au point de constituer, en quelques minutes, un catalogue de milliers d’appareils connectés. The Verge ajoute que d’autres produits DJI (comme des stations d’énergie DJI Power) auraient utilisé la même infrastructure, élargissant encore le périmètre.
Caméra, micro, cartes : l’enjeu de la vie privée
Le point le plus sensible concerne l’accès à ce qui se passe à l’intérieur des logements. Cette faille a pu permettre d’accéder à des flux vidéo (caméra du robot), de potentiellement “écouter” via le micro présent sur les appareils, d’observer des cartes et plans générés par les robots. Cela aurait également permis d’estimer une localisation approximative via une adresse IP.
Dans le récit, il aurait même pu accéder au flux caméra de son propre Romo en contournant le code PIN de sécurité. Un autre utilisateur cité par The Verge confirme qu’une version “lecture seule” de l’outil lui aurait permis de voir son flux vidéo avant appairage.
Un problème de permissions plus qu’un « hack »
Ce que décrit The Verge ressemble moins à une intrusion qu’à un mauvais cloisonnement des droits d’accès. Azdoufal dit avoir simplement récupéré le « token » de son appareil (une clé d’authentification), puis constaté que les serveurs lui renvoyaient des informations d’autres utilisateurs.
DJI aurait reconnu un souci de validation des permissions côté serveur. Le papier insiste aussi sur un point souvent mal compris : même si la connexion est chiffrée (TLS), cela ne protège pas si un client authentifié peut s’abonner à des flux trop larges dans un système IoT (type MQTT) mal verrouillé.
Bonne nouvelle. DJI aurait restreint puis coupé l’accès. Azdoufal ne verrait plus aucun robot, “même le sien”, signe que la brèche a été colmatée. Mais l’épisode pose deux questions clés. Pourquoi un appareil qui circule chez vous, cartographie votre logement et embarque caméra/micro peut-il se retrouver exposé par une simple erreur de permissions ? Et quelle transparence et quels garde-fous les marques mettent-elles réellement en place quand un incident survient ?
Une alerte de plus sur la maison connectée
Cette histoire n’est hélas pas la première ni la dernière qui concerne des appareils connectés. On se souvient notamment de cet épisode de hackers qui sont parvenus à prendre le contrôle d’aspirateurs robots Ecovacs aux États-Unis et qui se sont mis à insulter leurs propriétaires. Ces différents hacks rappellent une évidence. Un robot aspirateur moderne n’est plus un simple appareil ménager. C’est une plateforme connectée, bourrée de capteurs, dont la sécurité dépend autant du matériel que des serveurs et des politiques internes.
Et pour les utilisateurs, un rappel s’impose : dès qu’il y a caméra + cloud, la question n’est pas seulement « est-ce pratique ? », mais aussi « qu’est-ce qui protège mes données, et comment ? ».
Le rachat récent de la société états-unienne iRobot par le groupe chinois Picea prévoit notamment la création d’une filiale distincte basée aux États-Unis, iRobot Safe Corporation. Robot explique avoir mis ainsi en place des mesures structurelles et juridiques pour protéger les données des consommateurs américains et internationaux. Cette nouvelle entité est présentée comme un “pare-feu” destiné à maintenir une séparation claire entre une propriété non américaine (Picea) et les données des utilisateurs.
iRobot passe sous contrôle chinois, ce que ça va changer pour les Roomba
Le récent rapport de Bitfender et de Netgear montre que, en moyenne, un foyer a aujourd’hui 22 appareils connectés. Et chacun d’entre eux est donc une possible porte d’entrée pour vous attaquer. Et il y aurait 29 cyberattaques par jour en moyenne. Soit presque trois fois plus qu’en 2024 ! la menace est donc bien réelle…
Votre maison connectée risque de se retourner contre vous, comment se protéger contre le piratage ?
Source : The Verge
