Navigation
Les derniers articles
Suivez en direct

Aspirateurs DJI : une faille critique ouvre l’accès à 7’000 caméras

Illustration aux tons jaunes montrant un aspirateur robot DJI Romo dans sa station de charge translucide, accompagnée d'un pictogramme blanc de robot connecté émettant des ondes. Logo DCOD.ch présent en bas à droite.
Une faille chez les aspirateurs DJI a permis d’accéder aux caméras et plans de 7000 robots. Cette intrusion souligne l’urgence d’une sécurité par conception.

TL;DR : L’essentiel

  • Un chercheur a pris le contrôle à distance d’environ 7000 aspirateurs en utilisant son propre badge numérique, révélant une absence de vérification des droits d’accès sur les serveurs de la marque.
  • Les données volées comprenaient des vidéos en direct, des sons et des plans détaillés des maisons, créés par les capteurs pendant que les robots nettoyaient les pièces de façon autonome.
  • Le système de communication transmettait des détails techniques toutes les trois secondes, permettant de localiser précisément les machines dans plus de 20 pays différents sur une carte du monde interactive.
  • Bien que des correctifs aient été appliqués, certaines failles demeurent, comme le contournement du code de sécurité, prouvant que la protection de la vie privée reste secondaire pour certains constructeurs.

L’interconnexion croissante des appareils domestiques soulève des questions fondamentales sur la protection de la sphère privée au sein du foyer. L’incident récent impliquant les aspirateurs DJI démontre qu’une simple expérimentation technique peut exposer des milliers d’utilisateurs à une compromission de données massive. Alors que ces appareils intègrent des capteurs de plus en plus sophistiqués, la gestion des accès sur les serveurs centraux accuse un retard alarmant. Cette situation illustre la fragilité des infrastructures de stockage à distance qui centralisent les flux d’informations de millions de foyers sans garantir un cloisonnement hermétique entre les différents comptes utilisateurs.

Un système de messagerie vulnérable à une faille majeure

La problématique identifiée repose sur une mauvaise configuration du protocole MQTT, une sorte de messagerie instantanée réservée aux machines pour dialoguer avec les serveurs de la marque. Un responsable de stratégie en intelligence artificielle a découvert qu’en récupérant son propre jeton d’accès, sorte de badge numérique d’identité, il pouvait s’inviter dans les conversations de milliers d’autres robots. Comme le rapporte The Verge, l’interface de contrôle affichait progressivement des milliers de dispositifs sur une carte mondiale. Chaque appareil envoyait des paquets de données toutes les trois secondes, incluant son numéro de série, l’état de sa batterie et les obstacles rencontrés lors de sa mission de nettoyage.

Le détail technique est frappant : il suffisait de saisir le numéro de série d’un appareil tiers pour voir instantanément sa progression dans une pièce et son niveau d’énergie, fixé par exemple à 80% lors d’un essai. Cette absence de vérification des droits rendait le chiffrement TLS, qui agit normalement comme un tunnel blindé pour protéger le transport des données, totalement inutile. Puisque le chercheur possédait une clé valide pour son propre robot, le serveur le laissait ouvrir les portes de tous les autres. Il a ainsi pu observer en temps réel la création du plan d’étage d’une habitation située dans un autre pays, illustrant une capacité de surveillance à distance sans précédent provoquée par cette faille de sécurité.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Une intrusion visuelle et sonore au cœur de la maison

L’aspect le plus critique de cette vulnérabilité concerne l’accès aux flux vidéo et audio des aspirateurs DJI. Le dispositif de sécurité par code secret, censé restreindre l’accès à la caméra, a été totalement ignoré par le système lors des tests. Un responsable technique d’un cabinet de conseil a confirmé avoir pu visionner les images de son propre robot avant même d’avoir fini de configurer l’appareil. Lors d’une démonstration en direct, le chercheur a pu saluer la caméra de son robot depuis son salon alors que l’image était interceptée à des milliers de kilomètres. Cette porosité logicielle permettait également d’activer le microphone, transformant un simple outil de ménage en un instrument d’écoute potentielle caché dans l’intimité des familles.

La réponse de l’entreprise a été marquée par une communication hésitante. Un porte-parole a d’abord affirmé que l’incident était résolu avant que les accès ne soient réellement coupés sur l’ensemble du réseau. La marque a finalement admis une erreur de validation des permissions affectant la communication entre l’objet et le centre de données. Bien que les informations soient stockées sur des serveurs aux États-Unis, des experts soulignent que la localisation géographique ne protège pas les utilisateurs si les règles d’accès numériques ne sont pas strictement appliquées. En utilisant un outil de programmation assisté par intelligence artificielle pour analyser les codes de l’appareil, le chercheur a prouvé qu’une intrusion de cette ampleur ne nécessitait plus de compétences de piratage complexes.

L’urgence d’intégrer la sécurité dès la conception des objets

Cet incident s’inscrit dans une série de défaillances graves touchant l’industrie des aspirateurs autonomes. Entre 2024 et 2025, d’autres marques ont présenté des failles permettant de poursuivre des animaux ou de voler des photos privées. La multiplication des capteurs et l’usage de l’intelligence artificielle pour reconnaître les objets augmentent les risques de piratage. Si une IA peut aider à créer une application capable de s’introduire dans le domicile d’autrui via un aspirateur, la responsabilité des fabricants devient un enjeu de sécurité publique. La protection des données personnelles ne doit plus être une option ajoutée à la fin du projet mais le socle même du développement de chaque produit connecté.

La persistance de certaines failles, comme la possibilité de consulter une vidéo sans identification solide, montre que les récompenses offertes aux chercheurs pour trouver des bugs ne suffisent pas à sécuriser les systèmes. L’industrie doit impérativement adopter des règles de contrôle beaucoup plus strictes pour s’assurer qu’un appareil ne puisse jamais parler à un utilisateur non autorisé. La confiance du public dans la maison intelligente dépendra de la capacité des entreprises à traiter la sécurité des logiciels avec la même exigence que la qualité de leurs composants mécaniques. L’affaire entourant les aspirateurs DJI rappelle que l’innovation ne vaut rien si elle sacrifie la protection fondamentale des foyers.

Pour approfondir le sujet

Aspirateur robot et piratage : la menace invisible au cœur de la maison

Aspirateur robot et piratage : la menace invisible au cœur de la maison

dcod.ch

Le phénomène de l'aspirateur robot et son piratage inquiète. Des caméras détournées aux lasers espions, découvrez comment sécuriser votre appareil face aux cyberattaques. Lire la suite

Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.

☕ Contribuer aux frais
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Page frontale du livre Cybersécurité Nouvelle Génération

Cybersécurité Nouvelle Génération: Défendre Contre les Attaques Intelligentes grâce à l'IA

Dans un paysage numérique dominé par des menaces en constante évolution, les stratégies traditionnelles de cybersécurité ne suffisent plus. Cybersecurity Next-Generation est votre guide incontournable pour comprendre et mettre en œuvre l'intelligence artificielle comme arme stratégique dans la lutte contre les cyberattaques intelligentes et adaptatives.

📘 Voir sur Amazon
Page frontale du livre L\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\'intelligence artificielle en 50 notions clés pour les Nuls

L'intelligence artificielle en 50 notions clés pour les Nuls

Grâce à ce livre, vous pourrez naviguer dans l'univers foisonnant de l'IA et rester conscient et éclairé face aux transformations qu'elle propose à notre monde.

📘 Voir sur Amazon
Page frontale du livre Cybersécurité: Le guide du débutant

Cybersécurité: Le guide du débutant

Si vous voulez un guide étape par étape sur la cybersécurité, plus un cours gratuit complet sur la sécurité en ligne, plus un accès à une formidable communauté de hackers, ce livre est pour vous !

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.