Un bidouillage avec une manette PlayStation révèle une faille de sécurité massive
Un programmeur français basé à Barcelone a découvert par hasard une vulnérabilité critique dans les aspirateurs robots connectés de la marque DJI Romo. En tentant de contrôler son propre appareil avec une manette de PlayStation 5, Sammy Azdoufal a accidentellement obtenu l'accès aux données d'environ 7 000 appareils similaires à travers le monde.
Une expérience domestique qui tourne mal
"Je voulais simplement trouver un moyen plus pratique de diriger mon aspirateur robot", explique Sammy Azdoufal, 32 ans, ancien spécialiste en cybersécurité. "En explorant le fonctionnement de l'application mobile DJI Home, j'ai connecté une manette de jeu et commencé à bidouiller quelques lignes de code."
Ce qui devait être une simple expérience de programmation s'est transformée en découverte inquiétante. Le programmeur s'est retrouvé avec un accès involontaire à des milliers d'aspirateurs robots, pouvant consulter leurs plans de logement, leurs données de localisation approximative et leurs statuts de fonctionnement.
Des données personnelles exposées
"Vous pouvez obtenir un plan complet de toutes les pièces de la maison, avoir accès potentiel à la caméra et au micro de l'appareil", détaille Azdoufal, visiblement troublé par sa découverte. "J'ai immédiatement contacté le fabricant pour les alerter de cette faille apparente de sécurité."
Sa femme a depuis pris des mesures de précaution en recouvrant la caméra de leur propre aspirateur robot, illustrant la méfiance croissante envers les objets connectés domestiques.
DJI réagit et corrige la vulnérabilité
Le fabricant chinois DJI, basé à Shenzhen et principalement connu pour ses drones, a confirmé avoir identifié cette vulnérabilité fin janvier lors d'un examen interne. L'entreprise a déclaré à l'AFP avoir "remédié immédiatement" au problème via deux mises à jour logicielles début février.
"DJI se conforme à des normes strictes en matière de confidentialité et de sécurité des données", a assuré l'entreprise. "Nous prenons au sérieux les signalements de la communauté sécuritaire et nous les examinons rapidement."
Le fabricant précise que les corrections ont été déployées "sans aucune action requise de la part des utilisateurs" et qu'il travaille à renforcer davantage son mécanisme de vérification par code PIN.
Vérification indépendante par The Verge
Faute de réponse immédiate de DJI, Sammy Azdoufal a contacté le média spécialisé The Verge. Le média a fourni au programmeur le numéro de série d'un aspirateur DJI Romo récemment testé par un membre de son équipe.
The Verge a confirmé que le Français avait effectivement pu obtenir un plan précis du logement de son journaliste et observer quand le robot était en cours d'utilisation. Cependant, le média a précisé qu'Azdoufal n'avait pas pu prendre le contrôle de l'aspirateur, ni accéder à sa caméra ou à son micro, DJI ayant restreint ces fonctions après avoir été alerté.
Des inquiétudes croissantes sur la cybersécurité domestique
Cet incident relance les interrogations sur la sécurité des objets connectés domestiques, dont la popularité ne cesse de croître. Les aspirateurs robots haut de gamme de la série Romo de DJI peuvent coûter plus de 1 200 euros, ce qui rend d'autant plus préoccupante toute faille de sécurité.
"Parfois mon cerveau est bizarre", plaisante Sammy Azdoufal en évoquant son processus de découverte. Mais derrière cette légèreté se cache une réalité plus sombre : les objets connectés qui peuplent nos foyers peuvent devenir des portes d'entrée vers nos vies privées si leur sécurité n'est pas suffisamment renforcée.
L'incident démontre l'importance des chercheurs en sécurité et des programmes de divulgation responsable des vulnérabilités, permettant aux fabricants de corriger les failles avant qu'elles ne soient exploitées par des acteurs malveillants.
