Un homme a accidentellement pris le contrôle de 7 000 aspirateurs robots

 (popsci.com)
5 points par GN⁺ 2026-02-23 | 1 commentaires | Partager sur WhatsApp
  • Un ingénieur logiciel a obtenu par inadvertance un accès à 7 000 appareils alors qu’il essayait de piloter un aspirateur robot DJI avec une manette de jeu
  • En développant sa propre application, il a utilisé un assistant de codage IA pour rétroconcevoir le mode de communication avec le cloud, et a découvert une faille de sécurité permettant aux mêmes identifiants de s’appliquer à d’autres appareils
  • Cela pouvait exposer des informations sensibles comme le flux vidéo en temps réel de la caméra, l’audio du microphone et les données cartographiques sur des appareils situés dans 24 pays
  • Au lieu d’en abuser, il l’a signalé à The Verge ; DJI a déclaré avoir immédiatement déployé un correctif et résolu le problème
  • L’affaire est remarquée comme un avertissement sur les vulnérabilités de sécurité des appareils de maison connectée et sur l’amplification des risques que peuvent entraîner les outils d’IA

Une faille de sécurité massive découverte dans des aspirateurs robots DJI

  • L’ingénieur Sammy Azdoufal a découvert le problème en développant une application pour piloter son aspirateur robot DJI Romo avec une manette de jeu
    • Il a utilisé un assistant de codage IA pour analyser les communications entre le robot et les serveurs cloud de DJI
    • Le serveur ne vérifiait pas seulement l’authentification d’un appareil unique, mais accordait le même niveau d’accès à des milliers d’autres appareils
  • Il a ainsi pu accéder à la caméra, au microphone, aux cartes et aux données d’état de plus de 7 000 aspirateurs robots
    • À partir des adresses IP, il pouvait aussi voir la localisation approximative des appareils
    • Il a expliqué qu’il ne s’agissait pas d’un « piratage », mais d’un problème de sécurité découvert par hasard

Réponse de DJI et correctif de sécurité

  • DJI a annoncé avoir confirmé fin janvier, lors d’un examen interne, une vulnérabilité liée à DJI Home et avoir immédiatement lancé la procédure de correction
    • Un premier correctif a été déployé automatiquement le 8 février, puis une mise à jour complémentaire le 10 février
    • Le problème a été entièrement résolu sans action des utilisateurs
  • DJI a indiqué qu’il comptait continuer à mettre en place des mesures de renforcement de la sécurité, sans en dévoiler les détails
  • Azdoufal a signalé le problème à The Verge, ce qui a permis une réaction rapide de DJI

Les inquiétudes grandissent autour de la sécurité des appareils de maison connectée

  • Cet incident montre que les robots connectés à Internet et les appareils de maison connectée peuvent devenir des cibles attrayantes pour les pirates
  • Les récentes controverses autour des publicités Ring et les cas de récupération de vidéos Google Nest ont renforcé les inquiétudes des consommateurs sur la vie privée
  • Aux États-Unis, certains produits ont déjà été interdits au nom des risques de sécurité liés à des produits technologiques chinois, dont ceux de DJI

La diffusion de la maison connectée et le paradoxe de la vie privée

  • En 2020, 54 millions de foyers aux États-Unis possédaient des appareils de maison connectée
    • Les utilisateurs qui en installent une première fois ont tendance à acheter d’autres appareils ensuite
  • Des entreprises comme Tesla, Figure et 1X développent des robots humanoïdes pour la maison, et certains sont déjà commercialisés
    • Comme ces robots doivent collecter des informations détaillées sur l’intérieur des habitations, le risque d’exposition de données personnelles augmente

Le défi de l’équilibre entre progrès technologique et sécurité

  • Les outils de codage basés sur l’IA améliorent l’efficacité du développement, mais augmentent aussi la possibilité que des non-spécialistes exploitent des vulnérabilités
  • Cette affaire est considérée comme un rappel de l’importance de la gestion de la sécurité dans un environnement mêlant IA et IoT
  • Azdoufal a finalement réussi son objectif initial de piloter le robot avec une manette de jeu, tout en mettant au jour les failles de la sécurité des maisons connectées

À lire aussi

1 commentaires

 
GN⁺ 2026-02-23
Réactions sur Hacker News

  • Il a découvert qu’avec ses propres identifiants de contrôle, il pouvait accéder aux caméras, microphones, cartes et données d’état d’environ 7 000 aspirateurs robots dans 24 pays à travers le monde
    J’ai signalé l’an dernier exactement le même problème sur les thermostats intelligents Mysa : les mêmes identifiants permettaient de contrôler tous les appareils
    Le sujet est résumé dans cet ancien fil HN

    • Ces appareils peuvent en pratique devenir des outils d’espionnage parfaits
      L’idée qu’un aspirateur bon marché puisse espionner l’intérieur d’une maison fait vraiment peur
    • L’histoire du thermostat intelligent est particulièrement inquiétante
      Le mini-split Haier chez moi se connecte aussi en Wi-Fi via l’app GE Home et envoie des données au GE Cloud
      Je l’ai essayé une fois, puis j’ai immédiatement changé le mot de passe Wi-Fi et je ne l’ai plus jamais reconnecté
      Plus tard, je compte le piloter moi-même avec un ESP32, des capteurs et un émetteur-récepteur IR
      S’il existe des vulnérabilités dans ce genre de système, on peut imaginer qu’un attaquant provoque aussi une explosion de la demande électrique
    • Je me demande s’ils n’ont pas réduit les coûts en n’installant pas de clé unique sur chaque appareil lors de la fabrication

  • J’ai l’impression qu’on en est arrivé à une situation de renoncement à la vie privée
    Les gens acceptent sans broncher que des caméras dans leur maison soient reliées à des serveurs externes
    La minorité qui s’en soucie se fait noyer dans la masse
    Au final, seuls ceux qui se préoccupent de leur vie privée sont pénalisés

  • Mon Roomba est configuré pour fonctionner tous les jours à 17 h, mais plusieurs fois il s’est réveillé tout seul à 19 h, est entré dans la chambre et y est resté 5 à 10 minutes avant de repartir
    Je n’ai absolument aucune idée de la raison

    • On se demande même s’il nettoie
      On dirait littéralement qu’il reste planté à côté du lit avant de repartir

  • Pendant un bref instant, un homme a été celui qui a aspiré le plus de choses dans toute l’histoire de l’humanité
    (formulation humoristique à propos de l’incident avec l’aspirateur robot)

  • Je préfère les appareils non connectés à Internet
    Les fonctions de base devraient marcher de façon fiable hors ligne, et Internet ne devrait servir qu’à des fonctions supplémentaires via des protocoles de sécurité ouverts
    Ça permet aussi de les réimplémenter soi-même

  • Il y a dix ans, dans une startup, on utilisait un fournisseur de 401k et, en me connectant, je voyais les informations de compte de mes collègues
    L’isolation entre comptes était complètement cassée
    J’étais stupéfait, mais je n’ai pas fait de vagues pour éviter d’exposer leur vie privée
    Avec le recul, j’aurais dû signaler le problème plus fermement

    • Moi aussi, en général, j’essaie de rester prudent
      Mais si l’autre partie réagit avec désinvolture, alors je pense qu’il vaut la peine de rendre le problème public

  • Grâce aux progrès de la technologie, la blague de Steven Wright est désormais devenue réalité à l’échelle d’Internet :
    « J’ai allumé un interrupteur qui ne servait à rien, et j’ai reçu un appel d’Allemagne »

  • Article original : The Verge - vulnérabilité de piratage du DJI Romo
    Discussion HN associée : lien

  • J’ai volontairement acheté un modèle sans caméra ni microphone

    • Mon Eufy affirme que tout le traitement est effectué en local
      Je ne l’ai pas vérifié moi-même, mais c’était la seule marque chinoise que j’ai vue parler de localisation des données et de vie privée, donc je l’ai choisie
      Bien sûr, je sais qu’une mise à jour du firmware peut changer ça à tout moment
      Malgré tout, j’en suis satisfait vu le rapport qualité-prix
    • Je pense que l’ancien mode de déplacement aléatoire des Roomba a été sous-estimé
      Ça semblait inefficace à regarder, mais les performances de nettoyage étaient en réalité plutôt bonnes
    • Je me demande s’il existe des modèles sans caméra de ce type qui ont quand même une fonction de vidage automatique
    • J’aimerais savoir s’il existe un moyen de vérifier qu’ils n’ont vraiment ni caméra ni microphone
    • J’aurais envie de répondre qu’il y a aussi un microphone dans les smartphones, alors pourquoi ce serait acceptable

  • Pour quelqu’un d’un minimum à l’aise techniquement, je pense qu’il vaut mieux acheter un aspirateur compatible Valetudo et remplacer le logiciel d’origine
    Site officiel de Valetudo

    • Mais j’ai changé d’avis après avoir lu la page « Why Not Valetudo » sur leur site
      Je suis à l’aise techniquement, mais si j’utilise un aspirateur robot, c’est pour gagner du temps et faire des choses plus utiles
      Valetudo ne correspond pas à cet objectif
      C’est un super projet, mais ce n’est pas le meilleur choix pour tout le monde
    • Je me demande si Claude pourrait aider à la configuration pour les personnes moins à l’aise avec la technique