En voulant piloter son robot aspirateur DJI avec une manette de PS5, un développeur a découvert une faille majeure. Résultat : des milliers d’appareils accessibles à distance, avec caméra et plan des logements à la clé.
À l’origine, l’idée avait tout d’un simple défi technique. Sammy Azdoufal souhaitait contrôler son tout nouveau robot aspirateur DJI Romo avec une manette de PlayStation 5, « juste pour le fun ». En développant sa propre application et en analysant la communication entre l’appareil et les serveurs de DJI, il est tombé sur un problème d’une tout autre ampleur : son outil ne dialoguait pas uniquement avec son aspirateur, mais avec des milliers d’autres, répartis dans le monde entier.
Une faille béante donne accès aux informations de milliers d'aspirateurs robot DJI
En se connectant aux serveurs MQTT utilisés par DJI, Azdoufal affirme avoir pu identifier environ 7 000 robots aspirateurs actifs dans 24 pays en l’espace de quelques minutes. Chaque appareil envoyait régulièrement des données : numéro de série, pièces de la maison en cours de nettoyage, obstacles rencontrés, niveau de batterie, retour à la station de charge.
Plus préoccupant encore, il explique avoir pu consulter des plans 2D détaillés des logements générés par les robots lors de la cartographie des pièces. Dans certains cas, il aurait également accédé aux flux vidéo en direct, contournant le code PIN censé protéger la caméra embarquée.
Selon lui, il ne s’agissait pas d’un piratage classique : aucune intrusion par force brute ou exploitation complexe. Il aurait simplement extrait le « token » privé de son propre appareil, censé limiter l’accès à ses seules données. Or, les serveurs auraient renvoyé les informations d’autres utilisateurs sans contrôle d’accès suffisamment strict.
Des mises à jour déployées rapidement
DJI s'est rendu compte avant la publication de cette histoire de l'existence d'une faille de sécurité et a commencé à colmater les brèches dès le 8 février dernier. Un premier patch a été déployé sur les DJI Romo, suivi d'une autre mise à jour deux jours plus tard. Le constructeur reconnaît un « problème de validation des permissions côté serveur » et précise que, selon ses investigations, la faille n'a pas été utilisée par des utilisateurs malveillants. Malgré cela, Sammy Azdoufal indique qu'il lui est toujours possible d'accéder au flux vidéo en direct de son aspirateur sans code PIN.
L’affaire soulève des interrogations sur la sécurité des objets connectés domestiques. Un robot aspirateur doté d’une caméra, d’un micro et capable de générer des plans détaillés d’un logement représente une quantité considérable de données sensibles.
Des chercheurs en sécurité pointent notamment un problème potentiel de contrôle d’accès au niveau des « topics » MQTT. En clair, une fois authentifié sur le serveur, un client mal configuré pourrait théoriquement écouter l’ensemble des messages échangés, même s’ils transitent via une connexion chiffrée.
DJI affirme poursuivre ses efforts de sécurisation et rappelle disposer d’un programme de bug bounty. Le problème n'est d'ailleurs pas isolé. D'autres marques, comme Ecovacs, Dreame ou encore Narwal, ont été pointées du doigt ces derniers mois pour des failles de sécurité qui pouvaient permettre à des hackers d'accéder aux photos ou vidéos prises par les aspirateurs robot.
Ironie de l’histoire : Azdoufal a finalement réussi son objectif initial. Il peut désormais contrôler son DJI Romo avec une manette de PS5. Mais sa démonstration aura surtout mis en lumière un problème bien plus vaste : dans la maison connectée, la vraie question n’est plus ce que font les appareils… mais qui peut les regarder faire.
Source : The Verge
