Navigation
Les derniers articles
Suivez en direct

Aspirateurs DJI : une faille critique ouvre l’accès à 7’000 caméras

Illustration aux tons jaunes montrant un aspirateur robot DJI Romo dans sa station de charge translucide, accompagnée d'un pictogramme blanc de robot connecté émettant des ondes. Logo DCOD.ch présent en bas à droite.
Une faille chez les aspirateurs DJI a permis d’accéder aux caméras et plans de 7000 robots. Cette intrusion souligne l’urgence d’une sécurité par conception.

TL;DR : L’essentiel

  • Un chercheur a pris le contrôle à distance d’environ 7000 aspirateurs en utilisant son propre badge numérique, révélant une absence de vérification des droits d’accès sur les serveurs de la marque.
  • Les données volées comprenaient des vidéos en direct, des sons et des plans détaillés des maisons, créés par les capteurs pendant que les robots nettoyaient les pièces de façon autonome.
  • Le système de communication transmettait des détails techniques toutes les trois secondes, permettant de localiser précisément les machines dans plus de 20 pays différents sur une carte du monde interactive.
  • Bien que des correctifs aient été appliqués, certaines failles demeurent, comme le contournement du code de sécurité, prouvant que la protection de la vie privée reste secondaire pour certains constructeurs.

L’interconnexion croissante des appareils domestiques soulève des questions fondamentales sur la protection de la sphère privée au sein du foyer. L’incident récent impliquant les aspirateurs DJI démontre qu’une simple expérimentation technique peut exposer des milliers d’utilisateurs à une compromission de données massive. Alors que ces appareils intègrent des capteurs de plus en plus sophistiqués, la gestion des accès sur les serveurs centraux accuse un retard alarmant. Cette situation illustre la fragilité des infrastructures de stockage à distance qui centralisent les flux d’informations de millions de foyers sans garantir un cloisonnement hermétique entre les différents comptes utilisateurs.

Un système de messagerie vulnérable à une faille majeure

La problématique identifiée repose sur une mauvaise configuration du protocole MQTT, une sorte de messagerie instantanée réservée aux machines pour dialoguer avec les serveurs de la marque. Un responsable de stratégie en intelligence artificielle a découvert qu’en récupérant son propre jeton d’accès, sorte de badge numérique d’identité, il pouvait s’inviter dans les conversations de milliers d’autres robots. Comme le rapporte The Verge, l’interface de contrôle affichait progressivement des milliers de dispositifs sur une carte mondiale. Chaque appareil envoyait des paquets de données toutes les trois secondes, incluant son numéro de série, l’état de sa batterie et les obstacles rencontrés lors de sa mission de nettoyage.

Le détail technique est frappant : il suffisait de saisir le numéro de série d’un appareil tiers pour voir instantanément sa progression dans une pièce et son niveau d’énergie, fixé par exemple à 80% lors d’un essai. Cette absence de vérification des droits rendait le chiffrement TLS, qui agit normalement comme un tunnel blindé pour protéger le transport des données, totalement inutile. Puisque le chercheur possédait une clé valide pour son propre robot, le serveur le laissait ouvrir les portes de tous les autres. Il a ainsi pu observer en temps réel la création du plan d’étage d’une habitation située dans un autre pays, illustrant une capacité de surveillance à distance sans précédent provoquée par cette faille de sécurité.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Une intrusion visuelle et sonore au cœur de la maison

L’aspect le plus critique de cette vulnérabilité concerne l’accès aux flux vidéo et audio des aspirateurs DJI. Le dispositif de sécurité par code secret, censé restreindre l’accès à la caméra, a été totalement ignoré par le système lors des tests. Un responsable technique d’un cabinet de conseil a confirmé avoir pu visionner les images de son propre robot avant même d’avoir fini de configurer l’appareil. Lors d’une démonstration en direct, le chercheur a pu saluer la caméra de son robot depuis son salon alors que l’image était interceptée à des milliers de kilomètres. Cette porosité logicielle permettait également d’activer le microphone, transformant un simple outil de ménage en un instrument d’écoute potentielle caché dans l’intimité des familles.

La réponse de l’entreprise a été marquée par une communication hésitante. Un porte-parole a d’abord affirmé que l’incident était résolu avant que les accès ne soient réellement coupés sur l’ensemble du réseau. La marque a finalement admis une erreur de validation des permissions affectant la communication entre l’objet et le centre de données. Bien que les informations soient stockées sur des serveurs aux États-Unis, des experts soulignent que la localisation géographique ne protège pas les utilisateurs si les règles d’accès numériques ne sont pas strictement appliquées. En utilisant un outil de programmation assisté par intelligence artificielle pour analyser les codes de l’appareil, le chercheur a prouvé qu’une intrusion de cette ampleur ne nécessitait plus de compétences de piratage complexes.

L’urgence d’intégrer la sécurité dès la conception des objets

Cet incident s’inscrit dans une série de défaillances graves touchant l’industrie des aspirateurs autonomes. Entre 2024 et 2025, d’autres marques ont présenté des failles permettant de poursuivre des animaux ou de voler des photos privées. La multiplication des capteurs et l’usage de l’intelligence artificielle pour reconnaître les objets augmentent les risques de piratage. Si une IA peut aider à créer une application capable de s’introduire dans le domicile d’autrui via un aspirateur, la responsabilité des fabricants devient un enjeu de sécurité publique. La protection des données personnelles ne doit plus être une option ajoutée à la fin du projet mais le socle même du développement de chaque produit connecté.

La persistance de certaines failles, comme la possibilité de consulter une vidéo sans identification solide, montre que les récompenses offertes aux chercheurs pour trouver des bugs ne suffisent pas à sécuriser les systèmes. L’industrie doit impérativement adopter des règles de contrôle beaucoup plus strictes pour s’assurer qu’un appareil ne puisse jamais parler à un utilisateur non autorisé. La confiance du public dans la maison intelligente dépendra de la capacité des entreprises à traiter la sécurité des logiciels avec la même exigence que la qualité de leurs composants mécaniques. L’affaire entourant les aspirateurs DJI rappelle que l’innovation ne vaut rien si elle sacrifie la protection fondamentale des foyers.

A lire aussi

Aspirateur robot et piratage : la menace invisible au cœur de la maison

Le phénomène de l'aspirateur robot et son piratage inquiète. Des caméras détournées aux lasers espions, découvrez comment sécuriser votre appareil face aux cyberattaques.

Lire la suite sur dcod.ch
Aspirateur robot et piratage : la menace invisible au cœur de la maison

Serveurs, API, outils de veille.
DCOD est un projet indépendant sans revenu. L'infra a un coût. Participez aux frais.

☕ Contribuer aux frais
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

100 Faits à Savoir sur la Cybersécurité

Vous êtes-vous déjà demandé comment les hackers parviennent à pénétrer des systèmes apparemment sécurisés ? Pourquoi entendons-nous tant parler des botnets et que peuvent-ils vraiment faire ? Et qu'en est-il de ce fameux quantum computing qui menace de bouleverser la cryptographie ?

📘 Voir sur Amazon
Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre. Cette nouvelle édition tient compte de l'actualité en matière de sécurité informatique et voit l'apparition de trois nouveaux chapitres qui traitent de la sécurité des mobiles, des voitures connectées et de l'étude des malwares.

📘 Voir sur Amazon

Cybersécurité de 0 à Expert

Vous entendez parler de cyberattaques tous les jours mais vous ne savez pas vraiment comment elles fonctionnent ? Vous voulez comprendre le monde de la cybersécurité sans jargon compliqué ni prérequis techniques ? Ce livre est votre point de départ idéal. Cybersécurité de 0 à Expert est un guide pas à pas qui vous emmène du niveau débutant jusqu’aux bases avancées, en expliquant chaque concept de façon claire et accessible.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.