Sammy Azdoufal voulait piloter son robot aspirateur avec une manette PS5. Comme tout bon créateur, il pensait que ce serait amusant de piloter manuellement un nouveau DJI Romo. Il a fini par avoir accès à une armée de robots nettoyeurs qui lui ont permis d'avoir un aperçu de milliers de foyers.
Poussé par un simple désir ludique, Azdoufal a utilisé l'assistant de codage IA Claude Code d'Anthropic pour procéder à une ingénierie inverse des protocoles de communication de son Romo. Mais lorsque son application maison s'est connectée aux serveurs de DJI, environ 7 000 robots aspirateurs répartis dans 24 pays ont commencé à répondre.
Il pouvait regarder les images en direct de leurs caméras, écouter grâce aux microphones embarqués et générer des plans d'étage de maisons qu'il n'avait jamais visitées. À partir d'un simple numéro de série à 14 chiffres, il a localisé le robot d'un journaliste de Verge, confirmé qu'il nettoyait le salon avec 80 % de batterie et produit une carte précise de la maison depuis un autre pays.
La défaillance technique était presque comiquement élémentaire. Le courtier de messages MQTT de DJI ne disposait d'aucun contrôle d'accès au niveau des sujets. Une fois authentifié avec un seul jeton d'appareil, il était possible de voir le trafic provenant d'autres appareils en texte clair.
Il n'y a pas que les aspirateurs qui ont répondu. Les stations de batteries portables Power de DJI, qui fonctionnent sur la même infrastructure MQTT, ont également fait leur apparition. Il s'agit de générateurs de secours domestiques extensibles jusqu'à 22,5 kWh, commercialisés pour permettre à votre maison de continuer à fonctionner en cas de panne de courant.
Ce qui différencie cette découverte d'une découverte de sécurité classique, c'est la manière dont elle s'est produite. Azdoufal a utilisé Claude Code pour décompiler l'application mobile de DJI, comprendre son protocole, extraire son propre jeton d'authentification et créer un client personnalisé.
Les outils de codage IA abaissent le seuil d'accès à la sécurité offensive avancée. La population capable d'explorer les protocoles de l'Internet des objets (IoT) vient de s'élargir considérablement, érodant encore davantage la confiance restante dans la sécurité par l'obscurité.
Pourquoi de nombreux aspirateurs connectés sont nuls
Ce n'est pas la première fois que quelqu'un pirate à distance un robot aspirateur. En 2024, hackers ont pris le contrôle des aspirateurs Ecovacs Deebot X2 dans plusieurs villes américaines, proférant des insultes à travers les haut-parleurs et poursuivant les animaux domestiques. La protection par code PIN d'Ecovacs n'était vérifiée que par l'application, jamais par le serveur ou l'appareil.
En septembre dernier, l'organisme sud-coréen de protection des consommateurs a testé six marques. Si Samsung et LG ont obtenu de bons résultats, trois modèles chinois ont présenté de graves défauts. Le modèle X50 Ultra de Dreame permettait l'activation à distance de la caméra. Le chercheur Dennis Giese a ensuite signalé une vulnérabilité TLS dans l'application Dreame à la CISA. Dreame n'a pas répondu aux questions de la CISA.
Le schéma se répète sans cesse : les fabricants commercialisent des aspirateurs présentant des failles de sécurité évidentes, ignorent les chercheurs, puis s'affolent lorsque les journalistes publient leurs conclusions.
La réponse initiale de DJI n'a fait qu'empirer les choses. La porte-parole Daisy Kong a déclaré à The Verge que le problème avait été corrigé la semaine précédente. Cette déclaration a été faite environ trente minutes avant qu'Azdoufal ne montre que des milliers de robots, y compris l'appareil testé par le journaliste, continuaient à transmettre des informations en direct. DJI a ensuite publié une déclaration plus complète reconnaissant un problème de validation des autorisations backend et deux correctifs, les 8 et 10 février.
DJI a déclaré que chiffrement TLS chiffrement toujours en place, mais Azdoufal affirme que cela protège la connexion, et non son contenu. Il a également déclaré à The Verge que d'autres vulnérabilités n'avaient toujours pas été corrigées, notamment un contournement du code PIN sur le flux de la caméra.
Les régulateurs font pression
La réglementation arrive, lentement. La loi européenne sur la cyber-résilience imposera la sécurité dès la conception pour tous les produits connectés vendus dans l'Union européenne d'ici décembre 2027, avec des amendes pouvant atteindre 15 millions d'euros. La loi britannique PSTI, en vigueur depuis avril 2024, est devenue la première loi au monde à interdire les mots de passe par défaut sur les appareils intelligents. En revanche, le Cyber Trust Mark américain est volontaire. Techniquement, ces cadres s'appliquent quel que soit le lieu d'implantation du fabricant. Dans la pratique, infliger des amendes à une entreprise de Shenzhen qui ignore les demandes de coordination de la CISA est une tout autre affaire.
Comment rester en sécurité
Il existe des mesures pratiques que vous pouvez prendre :
- Vérifiez les tests de sécurité indépendants avant d'acheter des appareils connectés.
- Placez les appareils IoT sur un réseau invité distinct.
- Maintenez le micrologiciel à jour
- Désactivez les fonctionnalités dont vous n'avez pas besoin.
Et demandez-vous si un aspirateur a vraiment besoin d'une caméra. De nombreux modèles équipés uniquement d'un LiDAR fonctionnent efficacement sans vidéo. Si votre appareil comprend une caméra ou un microphone, demandez-vous si vous êtes à l'aise avec cette exposition, ou couvrez physiquement l'objectif lorsque vous ne l'utilisez pas.
Nous ne nous contentons pas de signaler les menaces, nous les éliminons.
Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.
