Un chercheur en sécurité a trouvé un accès root permanent, identique sur chaque robot tondeuse Yarbo vendu dans le monde. Un mot de passe codé en dur ouvre les caméras et les commandes de plusieurs milliers de machines depuis n’importe où sur Internet.

Yarbo commercialise des robots multifonctions haut de gamme, capables de tondre, déneiger ou tracter une remorque selon le module fixé à l’avant. Sa gamme de tondeuses nous avait d’ailleurs fait de l’oeil à l’IFA 2025. Le fabricant appartient à Hanyangtech, une entreprise technologique basée à Shenzhen. En mai, le chercheur indépendant Andreas Makris a publié l’analyse du firmware et de l’application Android de ces robots. Le rapport expose un tunnel SSH permanent, ouvert par défaut sur chaque appareil, et un mot de passe administrateur identique sur toute la gamme. Grâce à ce mot de passe, quiconque connaît le numéro de série d’un robot en prend le contrôle total, qu’il s’agisse du déplacement, des caméras embarquées ou des mots de passe Wi-Fi enregistrés. Selon lui, environ 6 000 robots sont concernés dans le monde.
Un mot de passe root identique sur tous les robots Yarbo
Selon le chercheur, l’entreprise a construit cette porte dérobée de façon délibérée. Il pense que Yarbo y voit un usage professionnel du canal, un accès distant réservé au dépannage ou au support technique. Le service client de Yarbo, qu’il avait alors contacté, avait présenté cet accès comme un simple outil de diagnostic, sans risque pour les utilisateurs.
Chaque robot héberge un composant nommé com.yarbo.frpc, qui ouvre un tunnel SSH permanent vers un serveur situé aux États-Unis. Yarbo configure ce service avec l’accès administrateur activé et un mot de passe root identique sur toute la gamme, remis en place à chaque mise à jour, même après une modification par le propriétaire. Une tâche cron, installée d’office sur l’appareil, relance ce tunnel toutes les minutes dès que le processus s'’arrête.
La plateforme AHA! Attribue un identifiant CVE aux trois failles distinctes recensées par Makris. Le 11 juin dernier, la CISA a confirmé le problème dans son avis ICSA-26-162-01. Une faille voisine provient d’un signalement séparé, celui du chercheur suédois Markus Lassfolk, du cabinet Truesec. Codés en dur dans l’application et identiques pour tous les comptes, les identifiants MQTT ouvrent un accès aux serveurs qui pilotent la flotte à distance. Avec un score de gravité critique atteignant 9,8 sur 10 sur l’échelle CVSS, cette faille obtient le code CVE-2026-7368. Un tiers peut y envoyer des commandes de déplacement ou déclencher l’arrêt d’urgence de n’importe quel robot connecté. Sans aucun identifiant, une API distincte renvoie la position GPS au centimètre près, le niveau de batterie et l’état de fonctionnement d'un robot, à partir de son seul numéro de série.
Andreas Makris prend le contrôle d’un robot situé aux États-Unis
Au printemps, Andreas Makris et un journaliste de The Verge ont organiséune démonstration entre l’Allemagne et les États-Unis. Sitôt connecté, le chercheur a pris les commandes d’une tondeuse installée chez le journaliste, l’a dirigée vers lui, allongé dans l'herbe, et a interrompu la manœuvre juste après l’avoir légèrement heurté. L’engin pèse plus de cent kilos. Les lames sont restées immobiles pendant toute la démonstration, et personne n’a été blessé, comme vous pouvez le voir dans la vidéo ci-dessus.
Deux propriétaires contactés séparément confirment au journaliste que le chercheur a bien localisé leur domicile et récupéré leur adresse email ainsi que le mot de passe de leur Wi-Fi. Une fois la connexion root établie, un intrus pouvait donc aussi rediriger les flux des quatre caméras embarquées vers son propre écran, sans que le propriétaire en soit informé.
Contacté par le chercheur avant la publication, Yarbo a répondu par un message type affirmant que l’accès distant reste sous le contrôle exclusif du propriétaire, une affirmation que le rapport dément point par point. Mais juste après, Yarbo a annoncé l’abandon du mot de passe unique et un contrôle d’accès plus strict. L’entreprise rendra aussi l'accès distant optionnel lors des prochaines mises à jour, désactivé par défaut. Selon l’avis de la CISA, l’application mobile corrigée porte le numéro de version 3.17.4. Yarbo a activé automatiquement le blocage des identifiants partagés côté serveur lors du déploiement de la mise à jour de mai, sans action requise de la part des propriétaires.
Le cas rappelle un autre épisode récent en France. Un robot-tondeuse Mammotion perturbait pendant plus d’un an les réseaux LoRa utilisés par les compteurs et capteurs industriels du pays, jusqu’à l’intervention de l’ANFR. Dans les deux cas, les fabricants de robots ajoutent des modules radio et des dépendances logicielles sans toujours en mesurer les conséquences sur la vie privée ou le réseau environnant. Mais en Europe, on se heurte au RGPD.
Selon le rapport publié sur GitHub, aucune mesure côté propriétaire ne garantit la fermeture durable du tunnel SSH, puisque Yarbo contrôle entièrement la chaîne de déploiement des mises à jour.