L’accès non autorisé aux données des robots aspirateurs : un problème de sécurité majeur

Les appareils connectés, tels que les robots aspirateurs, sont de plus en plus courants dans nos maisons. Cependant, cette dépendance à la technologie et à la cloudisation pose d’importantes questions sur la sécurité des données. Récemment, un incident impliquant le robot aspirateur DJI ROMO a mis en lumière les failles de sécurité qui peuvent exister dans ces dispositifs.

Une curiosité qui mène à la découverte d’une faille

Sammy Azdoufal, un directeur en stratégie d’intelligence artificielle, a voulu contrôler son DJI ROMO avec une manette de PS5, pensant que ce serait amusant. En développant une application pour faciliter cela, il a été surpris de découvrir qu’il pouvait accéder à des milliers de robots aspirateurs dans le monde entier, les identifiant comme étant sous sa propriété. En moins de dix minutes, il a pu répertorier 6 700 appareils dans 24 pays, collectant ainsi plus de 100 000 messages s’échangeant via le protocole MQTT, un standard utilisé par beaucoup de dispositifs connectés.

Les données accessibles : un souci de confidentialité

Lors de sa démonstration, Azdoufal a montré qu’il pouvait afficher des informations critiques concernant ces robots : le numéro de série, la pièce à nettoyer, la distance parcourue et le moment où le robot retournait à sa station de charge. Ce niveau d’accès soulève de graves préoccupations sur la protection de la vie privée des utilisateurs.

Réactions de DJI : parches et affirmations

Suite à cette découverte, DJI a reconnu une vulnérabilité dans son système. L’entreprise a expliqué qu’elle avait identifié le problème à la fin janvier et commencé à travailler sur des correctifs, publiant une première mise à jour en février. Selon DJI, le problème était lié à une “validation des permissions de backend”, mais ils affirmaient que l’accès non autorisé était “extrêmement rare”. Cependant, ces déclarations n’atténuent pas les inquiétudes des utilisateurs concernant la sécurité de leurs informations sensibles.

Questions sur l’audit et la sécurité

Le fait qu’un utilisateur ait pu découvrir une exposition aussi profonde soulève la question de l’audit interne et des contrôles de sécurité en place avant qu’un produit ne soit commercialisé. Les robots aspirateurs, intégrant des caméras et des capteurs, ne sont pas de simples appareils électroménagers. L’incident a également suscité des interrogations sur la présence de microphones dans certains de ces dispositifs.

Une nouvelle ère pour DJI

Avec le lancement de son robot aspirateur DJI ROMO, la société a cherché à intégrer son expertise des drones dans le secteur des appareils domestiques. Ce robot utilise des technologies avancées telles que des capteurs LiDAR pour créer des cartes précises et éviter les obstacles. Cependant, la dépendance à des données en temps réel pour un fonctionnement optimal impose des exigences de sécurité rigoureuses.

L’incident de sécurité avec le DJI ROMO rappelle l’importance cruciale de la cybersécurité dans le domaine des objets connectés. À mesure que la technologie continue d’évoluer, les utilisateurs doivent rester vigilants quant à la protection de leurs données personnelles et encourager les fabricants à prioriser la sécurité dans la conception de leurs produits.



F1-ES