Un ingénieur logiciel a accidentellement eu accès aux flux de caméras en direct, au son du microphone et aux données de localisation de près de 7 000 robots aspirateurs DJI dans 24 pays. L’incident met en évidence une faille de sécurité critique dans les appareils, soulevant des questions sur les implications en matière de confidentialité d’une technologie de maison intelligente de plus en plus connectée.
Accès accidentel, à l’échelle mondiale
Sammy Azdoufal, alors qu’il tentait de créer une application de contrôle à distance personnalisée pour son aspirateur DJI Roborock, a découvert une vulnérabilité backend qui lui a permis d’accéder à un nombre étonnant d’autres appareils. En tirant parti d’un assistant de codage IA pour procéder à l’ingénierie inverse de la communication du robot avec les serveurs cloud de DJI, il est tombé sur un problème d’informations d’identification. Au lieu de se limiter à son propre vide, les serveurs le traitaient comme le propriétaire de milliers d’autres. Cela signifiait qu’il pouvait visualiser les flux de caméras en temps réel, activer les microphones, compiler des plans d’étage et identifier des emplacements approximatifs via des adresses IP.
Il ne s’agit pas de piratage informatique ; il s’agit d’une défaillance systémique de l’authentification. La vulnérabilité a révélé une armée de robots connectés à Internet qui, entre de mauvaises mains, auraient facilement pu être utilisés comme armes de surveillance.
Réponse de DJI et implications plus larges
DJI affirme avoir résolu le problème avec deux mises à jour déployées en février, précisant qu’aucune action de l’utilisateur n’était requise. Cependant, l’incident souligne une tendance croissante : les appareils domestiques intelligents sont des cibles attrayantes pour les acteurs malveillants. À mesure que les ménages adoptent davantage de robots, y compris des modèles humanoïdes avancés, les vulnérabilités deviendront probablement plus difficiles à détecter.
Le robot Romo, qui coûte environ 2 000 dollars, s’appuie sur une collecte constante de données – flux visuels et plans d’étage détaillés – pour fonctionner de manière autonome. Ces données sont partiellement stockées sur les serveurs de DJI, créant un point de défaillance centralisé. La découverte de l’ingénieur démontre que ces systèmes privilégient souvent la commodité plutôt que la sécurité.
Un schéma plus large de préoccupations en matière de confidentialité
La vulnérabilité DJI n’est pas un cas isolé. Les controverses récentes concernant les caméras Ring, les sonnettes Google Nest et les préoccupations géopolitiques persistantes concernant les fabricants de technologies chinois illustrent un schéma plus large d’érosion de la vie privée dans le domaine de la maison intelligente. Les législateurs américains ont mis en garde contre les risques de sécurité liés aux appareils fabriqués en Chine, même si les preuves concrètes restent floues.
La réalité est que de nombreux appareils domestiques intelligents ont un historique de pratiques de sécurité douteuses, bien qu’ils fonctionnent dans les domaines les plus privés de nos vies. Les études de marché indiquent que les consommateurs non seulement adoptent ces appareils, mais en recherchent activement davantage. En 2020, plus de 54 millions de foyers américains disposaient déjà d’au moins un appareil domestique intelligent.
L’avenir de la domotique
Des entreprises comme Tesla et Figure s’efforcent de développer des robots humanoïdes entièrement autonomes à usage domestique. Ces machines nécessiteront un accès sans précédent aux détails intimes de nos maisons pour fonctionner efficacement. Cela soulève une perspective effrayante : pour les acteurs malveillants, le potentiel d’exploitation est immense.
La découverte accidentelle d’Azdoufal nous rappelle brutalement que la ruée vers l’adoption de la technologie de la maison intelligente doit être tempérée par des mesures de sécurité rigoureuses. Alors qu’il souhaitait simplement contrôler son robot avec un joystick, son expérience a mis au jour une faille fondamentale dans l’architecture des appareils connectés. À mesure que la technologie progresse, la frontière entre commodité et surveillance continuera de s’estomper, exigeant une plus grande vigilance de la part des fabricants et des consommateurs.
