Aspirateurs DJI : une intrusion sur 7000 robots identifiée

L’interconnexion croissante des appareils domestiques soulève des questions fondamentales sur la protection de la sphère privée au sein du foyer. L’incident récent impliquant les aspirateurs DJI démontre qu’une simple expérimentation technique peut exposer des milliers d’utilisateurs à une compromission de données massive. Alors que ces appareils intègrent des capteurs de plus en plus sophistiqués, la gestion des accès sur les serveurs centraux accuse un retard alarmant. Cette situation illustre la fragilité des infrastructures de stockage à distance qui centralisent les flux d’informations de millions de foyers sans garantir un cloisonnement hermétique entre les différents comptes utilisateurs.

Un système de messagerie vulnérable à une faille majeure

La problématique identifiée repose sur une mauvaise configuration du protocole MQTT, une sorte de messagerie instantanée réservée aux machines pour dialoguer avec les serveurs de la marque. Un responsable de stratégie en intelligence artificielle a découvert qu’en récupérant son propre jeton d’accès, sorte de badge numérique d’identité, il pouvait s’inviter dans les conversations de milliers d’autres robots. Comme le rapporte The Verge, l’interface de contrôle affichait progressivement des milliers de dispositifs sur une carte mondiale. Chaque appareil envoyait des paquets de données toutes les trois secondes, incluant son numéro de série, l’état de sa batterie et les obstacles rencontrés lors de sa mission de nettoyage.

Le détail technique est frappant : il suffisait de saisir le numéro de série d’un appareil tiers pour voir instantanément sa progression dans une pièce et son niveau d’énergie, fixé par exemple à 80% lors d’un essai. Cette absence de vérification des droits rendait le chiffrement TLS, qui agit normalement comme un tunnel blindé pour protéger le transport des données, totalement inutile. Puisque le chercheur possédait une clé valide pour son propre robot, le serveur le laissait ouvrir les portes de tous les autres. Il a ainsi pu observer en temps réel la création du plan d’étage d’une habitation située dans un autre pays, illustrant une capacité de surveillance à distance sans précédent provoquée par cette faille de sécurité.

Une intrusion visuelle et sonore au cœur de la maison

L’aspect le plus critique de cette vulnérabilité concerne l’accès aux flux vidéo et audio des aspirateurs DJI. Le dispositif de sécurité par code secret, censé restreindre l’accès à la caméra, a été totalement ignoré par le système lors des tests. Un responsable technique d’un cabinet de conseil a confirmé avoir pu visionner les images de son propre robot avant même d’avoir fini de configurer l’appareil. Lors d’une démonstration en direct, le chercheur a pu saluer la caméra de son robot depuis son salon alors que l’image était interceptée à des milliers de kilomètres. Cette porosité logicielle permettait également d’activer le microphone, transformant un simple outil de ménage en un instrument d’écoute potentielle caché dans l’intimité des familles.

La réponse de l’entreprise a été marquée par une communication hésitante. Un porte-parole a d’abord affirmé que l’incident était résolu avant que les accès ne soient réellement coupés sur l’ensemble du réseau. La marque a finalement admis une erreur de validation des permissions affectant la communication entre l’objet et le centre de données. Bien que les informations soient stockées sur des serveurs aux États-Unis, des experts soulignent que la localisation géographique ne protège pas les utilisateurs si les règles d’accès numériques ne sont pas strictement appliquées. En utilisant un outil de programmation assisté par intelligence artificielle pour analyser les codes de l’appareil, le chercheur a prouvé qu’une intrusion de cette ampleur ne nécessitait plus de compétences de piratage complexes.

L’urgence d’intégrer la sécurité dès la conception des objets

Cet incident s’inscrit dans une série de défaillances graves touchant l’industrie des aspirateurs autonomes. Entre 2024 et 2025, d’autres marques ont présenté des failles permettant de poursuivre des animaux ou de voler des photos privées. La multiplication des capteurs et l’usage de l’intelligence artificielle pour reconnaître les objets augmentent les risques de piratage. Si une IA peut aider à créer une application capable de s’introduire dans le domicile d’autrui via un aspirateur, la responsabilité des fabricants devient un enjeu de sécurité publique. La protection des données personnelles ne doit plus être une option ajoutée à la fin du projet mais le socle même du développement de chaque produit connecté.

La persistance de certaines failles, comme la possibilité de consulter une vidéo sans identification solide, montre que les récompenses offertes aux chercheurs pour trouver des bugs ne suffisent pas à sécuriser les systèmes. L’industrie doit impérativement adopter des règles de contrôle beaucoup plus strictes pour s’assurer qu’un appareil ne puisse jamais parler à un utilisateur non autorisé. La confiance du public dans la maison intelligente dépendra de la capacité des entreprises à traiter la sécurité des logiciels avec la même exigence que la qualité de leurs composants mécaniques. L’affaire entourant les aspirateurs DJI rappelle que l’innovation ne vaut rien si elle sacrifie la protection fondamentale des foyers.

Pour approfondir le sujet

Aspirateur robot et piratage : la menace invisible au cœur de la maison

dcod.ch

Le phénomène de l'aspirateur robot et son piratage inquiète. Des caméras détournées aux lasers espions, découvrez comment sécuriser votre appareil face aux cyberattaques. Lire la suite

Des failles dans votre robot cuisinier ? Le Thermomix TM5, oui !

dcod.ch

On ne s’attend pas à parler cybersécurité en préparant un risotto… et pourtant. Des chercheurs en sécurité ont découvert plusieurs failles dans le célèbre Thermomix TM5 Lire la suite