- Un ingénieur logiciel a obtenu par inadvertance un accès à 7 000 appareils alors qu’il essayait de piloter un aspirateur robot DJI avec une manette de jeu
- En développant sa propre application, il a utilisé un assistant de codage IA pour rétroconcevoir le mode de communication avec le cloud, et a découvert une faille de sécurité permettant aux mêmes identifiants de s’appliquer à d’autres appareils
- Cela pouvait exposer des informations sensibles comme le flux vidéo en temps réel de la caméra, l’audio du microphone et les données cartographiques sur des appareils situés dans 24 pays
- Au lieu d’en abuser, il l’a signalé à The Verge ; DJI a déclaré avoir immédiatement déployé un correctif et résolu le problème
- L’affaire est remarquée comme un avertissement sur les vulnérabilités de sécurité des appareils de maison connectée et sur l’amplification des risques que peuvent entraîner les outils d’IA
Une faille de sécurité massive découverte dans des aspirateurs robots DJI
- L’ingénieur Sammy Azdoufal a découvert le problème en développant une application pour piloter son aspirateur robot DJI Romo avec une manette de jeu
- Il a utilisé un assistant de codage IA pour analyser les communications entre le robot et les serveurs cloud de DJI
- Le serveur ne vérifiait pas seulement l’authentification d’un appareil unique, mais accordait le même niveau d’accès à des milliers d’autres appareils
- Il a ainsi pu accéder à la caméra, au microphone, aux cartes et aux données d’état de plus de 7 000 aspirateurs robots
- À partir des adresses IP, il pouvait aussi voir la localisation approximative des appareils
- Il a expliqué qu’il ne s’agissait pas d’un « piratage », mais d’un problème de sécurité découvert par hasard
Réponse de DJI et correctif de sécurité
- DJI a annoncé avoir confirmé fin janvier, lors d’un examen interne, une vulnérabilité liée à DJI Home et avoir immédiatement lancé la procédure de correction
- Un premier correctif a été déployé automatiquement le 8 février, puis une mise à jour complémentaire le 10 février
- Le problème a été entièrement résolu sans action des utilisateurs
- DJI a indiqué qu’il comptait continuer à mettre en place des mesures de renforcement de la sécurité, sans en dévoiler les détails
- Azdoufal a signalé le problème à The Verge, ce qui a permis une réaction rapide de DJI
Les inquiétudes grandissent autour de la sécurité des appareils de maison connectée
- Cet incident montre que les robots connectés à Internet et les appareils de maison connectée peuvent devenir des cibles attrayantes pour les pirates
- Les récentes controverses autour des publicités Ring et les cas de récupération de vidéos Google Nest ont renforcé les inquiétudes des consommateurs sur la vie privée
- Aux États-Unis, certains produits ont déjà été interdits au nom des risques de sécurité liés à des produits technologiques chinois, dont ceux de DJI
La diffusion de la maison connectée et le paradoxe de la vie privée
- En 2020, 54 millions de foyers aux États-Unis possédaient des appareils de maison connectée
- Les utilisateurs qui en installent une première fois ont tendance à acheter d’autres appareils ensuite
- Des entreprises comme Tesla, Figure et 1X développent des robots humanoïdes pour la maison, et certains sont déjà commercialisés
- Comme ces robots doivent collecter des informations détaillées sur l’intérieur des habitations, le risque d’exposition de données personnelles augmente
Le défi de l’équilibre entre progrès technologique et sécurité
- Les outils de codage basés sur l’IA améliorent l’efficacité du développement, mais augmentent aussi la possibilité que des non-spécialistes exploitent des vulnérabilités
- Cette affaire est considérée comme un rappel de l’importance de la gestion de la sécurité dans un environnement mêlant IA et IoT
- Azdoufal a finalement réussi son objectif initial de piloter le robot avec une manette de jeu, tout en mettant au jour les failles de la sécurité des maisons connectées
Aucun commentaire pour le moment.