Un ingénieur français a découvert par hasard qu’il pouvait avoir accès à des milliers d’aspirateurs robots dans le monde en tentant de piloter le sien, de marque chinoise, avec sa manette de PS5. La faille, depuis corrigée, relance les interrogations sur la sécurité des objets connectés.
Il voulait simplement tenter une petite expérience pour comprendre un peu mieux comment son appareil fonctionnait, mais en cherchant à contrôler son aspirateur robot DJI Romo – une marque chinoise – avec sa manette de PlayStation 5, le Français Sammy Azdoufal, 32 ans, installé à Barcelone, a découvert qu’il pouvait accéder à des milliers d’appareils à travers le monde. Au total, près de 7 000 robots répartis dans 24 pays se sont mis à répondre à son application artisanale, selon une enquête publiée par le média américain The Verge, que l’ingénieur français a directement contacté.
“Je voulais comprendre ce que l’appli envoyait au robot quand je le déplaçais”, explique-t-il à l’AFP. Et en analysant les échanges entre l’application mobile et les serveurs du fabricant chinois DJI, il a pu extraire le “token” privé de son propre appareil, une clé censée limiter l’accès à ses seules données. Mais les serveurs lui ont également renvoyé celles de milliers d’autres utilisateurs.
À lire aussi :
Il pousse sa voiture du haut d’une falaise pour toucher l’assurance, mais les enquêteurs démontent sa version
Lors de la démonstration faite par l’ingénieur français au média spécialisé américain, des milliers d’aspirateurs sont apparus progressivement sur une carte du monde, chacun transmettant toutes les trois secondes des données via le protocole informatique MQTT : numéro de série, pièces nettoyées, niveau de batterie, obstacles rencontrés. En neuf minutes, plus de 6 700 appareils sont identifiés, avec plus de 100 000 messages collectés.
“Je n’ai rien forcé”
Et à partir de ces numéros de série à 14 chiffres, comme celui fourni par le journaliste du média américain, Sammy Azdoufal parvient à afficher l’état précis d’un appareil testé par la rédaction : pièce en cours de nettoyage, batterie à 80 %, et plan détaillé du logement généré en temps réel. Il affirme également avoir pu accéder aux flux vidéo et audio de certains robots, en contournant le code PIN de sécurité.
Il affirme ne pas avoir “piraté” les serveurs, ni forcé d’accès : “Je n’ai rien cassé, rien “bruteforcé”.” Selon lui, l’absence de contrôles d’accès fins au sein du protocole MQTT permettait à tout client authentifié de s’abonner à l’ensemble des flux.
Alertée, la marque chinoise indique avoir “identifié une vulnérabilité affectant DJI Home lors d’un examen interne fin janvier” et déployé deux correctifs les 8 et 10 février, sans action requise des utilisateurs. L’entreprise reconnaît “un problème de validation des permissions côté serveur” susceptible de permettre un accès non autorisé aux vidéos en direct, tout en affirmant que les communications étaient chiffrées et que les accès non-autorisés aux flux vidéo des aspirateurs ont au final été “extrêmement rares”.
La faille est résorbée
Selon The Verge, l’accès massif était encore possible au moment de leur démonstration, avant d’être définitivement bloqué le lendemain. DJI assure désormais que la faille est “pleinement résolue” et qu’aucun impact étendu n’a été constaté.
À lire aussi :
Des jouets contenant de l’amiante ? Des produits vendus chez Hema et Action rappelés après des détections
Pour Alan Woodward, professeur d’informatique à l’université de Surrey, cité par la presse britannique, ces incidents illustrent une sécurité parfois “négligée” dans la course à l’innovation. L’épisode rappelle en effet d’autres vulnérabilités ayant touché des aspirateurs connectés ces dernières années.
Sammy Azdoufal affirme avoir signalé la faille au fabricant avant de rendre l’affaire publique. « Je veux juste que ce soit corrigé », dit-il. Depuis, il peut effectivement piloter son propre Romo avec une manette de jeu.