Avec sa manette de PlayStation, ce Français pirate involontairement 7.000 aspirateurs robots DJI Romo

Il ne s'attendait pas à vivre ça. Le programmeur français Sammy Azdoufal voulait trouver une solution pour manœuvrer son aspirateur robot avec une manette PlayStation. Quelques lignes de code plus tard, il avait eu accès, malgré lui, à près de 7.000 appareils à l'insu de leurs propriétaires. 

Le groupe chinois DJI, qui fabrique ces aspirateurs de la série "Romo", assure avoir corrigé à présent la "vulnérabilité" détectée dans son logiciel. "Il y a une appli liée à l'aspirateur", explique le programmeur, qui vit à Barcelone, joint par l'AFP cette semaine. "Donc j'ai essayé de comprendre ce que l'appli envoyait au robot quand je déplaçais le robot". 

Après avoir connecté une manette de jeu, il s'est dit que l'aspirateur pourrait aussi émettre un son plaintif quand la batterie est faible. "Parfois mon cerveau est bizarre", plaisante l'homme de 32 ans.  

Accès aux caméras, micros, et localisations des appareils

En bidouillant encore pour trouver un indicateur de l'état de la batterie, il a été étonné et "un peu effrayé" d'accéder aux données de milliers d'autres aspirateurs. "Vous pouvez avoir un plan complet de toutes les pièces, vous pouvez avoir accès à la caméra, au micro", et obtenir une localisation approximative de chaque appareil, décrit-il.  

Il indique avoir écrit, pris de panique, au fabricant pour l'avertir de cette faille apparente de sécurité. Le programmeur, ancien spécialiste de cybersécurité, explique que sa femme a depuis recouvert la caméra de leur aspirateur, par précaution. 

Faute de réponse immédiate de l'entreprise, Sammy Azdoufal a contacté le média spécialisé The Verge, qui lui a fourni le numéro de série à 14 chiffres d'un aspirateur DJI Romo récemment testé par un membre de l'équipe.  

Des aspirateurs haut de gamme vendus jusqu'à 1.200 euros

The Verge a confirmé que le Français avait pu obtenir un plan précis du logement de son journaliste et observer quand le robot était en cours d'utilisation.  
Il n'a pas pu toutefois gagner le contrôle de l'aspirateur, ni voir à travers sa caméra ou écouter avec son micro, a précisé le média, ajoutant que DJI avait restreint l'accès à ces fonctions après avoir été alerté.  

DJI, fabricant de drones et autres appareils high-tech, basé à Shenzhen (sud), vend ses aspirateurs intelligents Romo haut de gamme jusqu'à plus de 1.200 euros. Le fabricant a indiqué auprès de l'AFP avoir "identifié une vulnérabilité affectant DJI Home lors d'un examen interne fin janvier et y avoir remédié immédiatement".  

L'entreprise "travaille à renforcer davantage le mécanisme de vérification"

Le problème a été résolu par deux mises à jour début février "sans aucune action requise de la part des utilisateurs", a précisé l'entreprise. 
"DJI se conforme à des normes strictes en matière de confidentialité et de sécurité des données et a mis en place des processus pour identifier et traiter les vulnérabilités potentielles", a-t-elle ajouté. 

"Nous prenons au sérieux les signalements de la communauté sécuritaire et nous les examinons rapidement. Nous travaillons à renforcer davantage le mécanisme de vérification par un code PIN et nous examinons les autres affirmations du chercheur", a-t-elle indiqué, assurant utiliser un "chiffrement conforme aux standards de l'industrie" et des systèmes "protégés par des dispositifs de sécurité à plusieurs niveaux". Le témoignage du français illustre les risques potentiels pour la sécurité que présentent les objets domestiques connectés, à la popularité croissante.

L’actualité par la rédaction de RTL dans votre boîte mail.

Grâce à votre compte RTL abonnez-vous à la newsletter RTL info pour suivre toute l'actualité au quotidien

Je créé mon compte Se connecter

S’abonner à la Newsletter RTL Info