En début d’année 2025, Sammy Azdoufal, ingénieur logiciel, a découvert par hasard une vulnérabilité critique dans l’infrastructure cloud du fabricant de drones et robots DJI.
Alors qu’il développait une application maison pour contrôler son aspirateur DJI Romo via un joystick, il a obtenu un accès non désiré aux flux vidéo, aux micros et aux plans d’étage de milliers de foyers à travers le monde.
Cet événement, survenu il y a quelques mois, illustre parfaitement les risques croissants liés aux objets connectés dans nos espaces de vie.
Comment un projet DIY a exposé 7 000 foyers
Le DJI Romo est un aspirateur autonome haut de gamme, commercialisé aux alentours de 2 000 dollars. Équipé de capteurs visuels avancés, il cartographie les pièces, distingue une cuisine d’une chambre et stocke une partie de ces données sur les serveurs distants de DJI.
Pour développer son application de télécommande personnalisée, M.Azdoufal a utilisé un assistant de codage basé sur l’intelligence artificielle. Il s’est appuyé sur cet outil pour « rétro-concevoir » la communication entre le robot et les serveurs du fabricant. L’objectif : extraire un jeton de sécurité (token) prouvant qu’il est bien le propriétaire de son appareil.
Tags :
tech
Ces robots aspirateurs pouvaient transmettre des vidéos et cartographies de l’intérieur des maisons !
Lire l’article
Sauf que les serveurs de DJI n’ont pas vérifié un seul token. Ils lui en ont accordé des milliers. Résultat immédiat :
Accès aux flux caméras en temps réel d’autres robots.Activation à distance des microphones intégrés.Consultation des plans 2D des domiciles cartographiés.Localisation approximative des appareils via leur adresse IP.
M.Azdoufal insiste sur un point : il n’a rien piraté. Il a simplement trébuché sur une faille béante. Il a préféré alerter le média américain The Verge, qui a contacté DJI. La faille a depuis été corrigée via deux mises à jour automatiques, déployées les 8 et 10 février 2025.
En 2020, 54 millions de foyers américains possédaient au moins un objet connecté. © Herstockart, iStock
Maisons connectées : une intimité fragilisée par les objets du quotidien
Cette affaire ne concerne pas que DJI. Elle s’inscrit dans un contexte de méfiance grandissante envers les technologies dites « smart home ». Caméras Ring, sonnettes Nest, robots aspirateurs… autant d’appareils qui captent en permanence des données au cœur de nos vies privées.
La démocratisation des outils de codage assistés par IA est une double lame. D’un côté, elle permet à des passionnés comme Sammy Azdoufal d’innover. De l’autre, elle abaisse le niveau technique requis pour exploiter une faille logicielle. Un utilisateur mal intentionné aurait pu transformer ces 7 000 robots en véritables outils de surveillance, sans que leurs propriétaires n’en sachent jamais rien.
Tags :
tech
Une femme a été photographiée sur les toilettes par son aspirateur-robot Roomba
Lire l’article
Les robots domestiques deviennent aussi plus sophistiqués. Des entreprises comme Tesla ou Figure développent des robots humanoïdes capables de vivre dans un foyer et d’y effectuer des tâches. La société 1X commercialise déjà l’un de ces modèles. Pour fonctionner, ces machines auront besoin d’un accès intime et permanent à notre environnement. Pour un hacker, chaque nouvelle donnée collectée représente une opportunité.
Selon le cabinet d’études Parks Associates, 54 millions de foyers américains possédaient au moins un objet connecté dès 2020. Ce chiffre n’a fait qu’augmenter depuis. Les gouvernements s’en préoccupent : en France, l’ANSSI publie régulièrement des recommandations sur la sécurité des objets connectés.
L’incident avec Sammy Azdoufal rappelle une vérité inconfortable : les appareils qui nettoient nos sols en savent souvent plus sur nous que nous ne le pensons.
Source:
www.futura-sciences.com
