Un nouveau problème de sécurité vient toucher les robots aspirateurs Shark, quelques mois seulement après la découverte d'une faille affectant DJI Romo. En effet, une vulnérabilité déjà signalée au fabricant (sans réaction) exposerait les données de plusieurs centaines de milliers d'appareils. Une situation qui relance sans doute les interrogations sur la protection des informations collectées par ces appareils domestiques intelligents.

Les robot aspirateurs connectés sont une nouvelle fois au cœur d’une alerte de cybersécurité. Cette fois, c’est la marque Shark qui est concernée par cette vulnérabilité. Selon les révélations d’un chercheur en sécurité, une erreur de configuration permettrait d’accéder aux données de centaines de milliers d’appareils.
Des personnes malveillantes pourraient ainsi tomber sur des informations très sensibles comme les plans des logements, les flux de la caméra embarquée, etc. Plus préoccupant encore, cette faille serait connue du fabricant depuis plusieurs mois, mais aucun correctif n’a encore été mis en place.
Une erreur de configuration aux lourdes conséquences
Le problème ne provient pas d’une attaque sophistiquée, mais d’un défaut dans le système d’authentification des aspirateurs Shark connectés. Chaque appareil dispose en effet d’un certificat numérique destiné à l’identifier auprès des serveurs du constructeur. Or, selon le chercheur à l’origine de cette découverte, ce certificat accorderait des autorisations beaucoup trop larges.
Concrètement, une personne capable d’extraire le certificat d’un seul aspirateur pourrait interagir avec de nombreux autres appareils hébergés dans la même région cloud. Il ne serait donc pas nécessaire de casser un mot de passe ou d’exploiter un malware. La faille résulterait directement d’une mauvaise configuration du système de sécurité.
Lire aussi : Aspirateur robot : cette faille de sécurité pas rassurante du tout
Plans des logements, mot de passe Wi-Fi, flux vidéo exposés
Pour démontrer le problème, le chercheur aurait extrait le certificat de son propre robot en utilisant une interface de débogage laissée accessible par le fabricant. Une fois cette opération réalisée, il a pu communiquer avec de nombreux autres aspirateurs Shark.
Les informations accessibles sont loin d’être anodines. Elles incluent notamment les cartes détaillées des logements, les images issues de la caméra ou encore le mot de passe du réseau Wi-Fi stocké en clair sur l’appareil. Ces données pourraient permettre à un cybercriminel de mieux connaître l’agencement d’un domicile et, dans certains cas, de compromettre davantage le réseau domestique.
Aucune mesure prise quatre mois après le signalement
Ce qui préoccupe le plus dans cette nouvelle découverte, c’est le délai de réaction. Selon 01net, le fabricant SharkNinja aurait été averti de la vulnérabilité il y a environ quatre mois. Pourtant, au moment de la publication de l’enquête, aucun correctif public n’avait encore été diffusé et aucune référence officielle concernant cette faille n’avait été communiquée.
Cette situation rappelle l’importance de la cybersécurité dans l’univers des objets connectés. Les aspirateurs robots ne se contentent plus de nettoyer les sols. Ils cartographient les habitations, se connectent au réseau domestique et embarquent parfois des caméras. Autant de fonctionnalités qui améliorent leur efficacité, mais qui augmentent également la quantité de données sensibles susceptibles d’être exposées en cas de vulnérabilité.
Une série noire pour les robots aspirateurs
Cette affaire s’inscrit dans une succession d’incidents touchant les robots aspirateurs connectés. En 2024, des chercheurs avaient déjà mis en évidence des vulnérabilités affectant certains modèles Ecovacs, permettant d’accéder à des fonctions sensibles.
Et plus récemment, au début de l’année 2026, un développeur français avait découvert par hasard une faille sur des robots DJI Romo alors qu’il cherchait simplement à les piloter avec une manette PlayStation 5. Cette découverte lui avait donné accès aux données de milliers d’appareils répartis dans plusieurs dizaines de pays, avant que DJI ne déploie un correctif.
DJI Romo : Il pirate 7000 robots aspirateurs avec une manette PS5 et touche le gros lot
En attendant une éventuelle mise à jour de sécurité, les spécialistes recommandent aux utilisateurs de maintenir leurs appareils à jour et d’appliquer les correctifs disponibles dès leur publication. Il faudrait aussi, si possible, limiter les autorisations accordées aux équipements connectés présents sur leur réseau domestique.
Source : 01net





