Actualités, Privacy

Yarbo réagit aux défauts des robots qui pourraient faucher leurs propriétaires

par Pieter Arntz | 11 mai 2026
Tondeuse à gazon

Un chercheur a découvert que les robots de jardin Yarbo présentaient toute une série de failles qui, entre autres, permettaient à un pirate informatique de récupérer WiFi .

Le chercheur en sécurité Andreas Makris a découvert qu'il pouvait prendre le contrôle à distance de milliers de robots de jardin Yarbo à travers le monde, et l'a prouvé en se faisant écraser par sa propre tondeuse. La cause profonde résidait dans un ensemble de choix de conception « obsolètes » : tous les robots partageaient le même mot de passe root codé en dur, les tunnels de connexion à distance étaient laissés ouverts, et le protocole de messagerie MQTT (Message Queuing Telemetry Transport) était si mal protégé qu'une fois qu'on contrôlait un appareil, on contrôlait de fait l'ensemble du parc mondial.

Un pirate pourrait récupérer des coordonnées GPS, des adresses e-mail et des mots de passe Wi-Fi, transformer les caméras en outils d'espionnage à distance, et même réarmer la tondeuse après qu'une personne ait actionné l'arrêt d'urgence. 

Tout cela a été rendu possible par un tunnel de porte dérobée permanent que les utilisateurs ne pouvaient ni voir ni contrôler de manière significative. Les risques se répartissaient en trois catégories très distinctes :

  • Une tondeuse lourde équipée de lames commandées à distance et d'un arrêt d'urgence pouvant être contourné constitue un réel danger pour la sécurité.
  • La télémétrie exposée permettait aux pirates de localiser les appareils, d'identifier leurs propriétaires et, selon certains rapports, d'accéder même aux flux vidéo des caméras.
  • L'utilisation abusive du réseau via des identifiants root partagés permettait aux robots compromis de scanner les réseaux locaux, de voler davantage de données ou d'être intégrés à un botnet.

La réponse publique de Yarbo est inhabituellement détaillée pour un fournisseur grand public d'appareils connectés (IoT). Elle se distingue également par sa franchise rafraîchissante, reconnaissant que les principales conclusions du chercheur étaient exactes. L'entreprise a temporairement désactivé les tunnels de diagnostic à distance, réinitialisé les mots de passe root, verrouillé les terminaux non authentifiés et commencé à supprimer les voies d'accès héritées inutiles.

Mais surtout, Yarbo promet des changements structurels :

  • Identifiants uniques par appareil.
  • Rotation des identifiants par mise à jour en direct (OTA).
  • Diagnostics à distance vérifiés et basés sur une liste blanche.
  • Un interlocuteur dédié à la sécurité, avec la possibilité d'un programme de prime aux bogues à venir.

C'est le genre de bonnes pratiques de sécurité à long terme qu'on voit rarement énoncées aussi clairement après un fiasco lié à l'IoT.

En matière de divulgation et de correction des failles, Yarbo fait beaucoup de choses comme il faut : il cite le chercheur, présente ses excuses, donne la priorité aux corrections et explique, dans un langage accessible, à la fois les correctifs à court terme et les changements architecturaux à long terme. Pour les acheteurs d'appareils connectés équipés de lames, ce niveau de transparence constitue un précédent positif.

Mais Yarbo a explicitement choisi de conserver un tunnel d'accès à distance, bien qu'encadré par des contrôles et des journaux plus rigoureux, plutôt que d'offrir aux utilisateurs la possibilité de le désactiver ou de s'en désinscrire complètement.

Comment sécuriser les appareils IoT

Les failles mises au jour dans l'affaire Yarbo constituent une véritable démonstration concrète de ce quela loi sur l'amélioration de l' e en matière de cybersécurité de l'IoT (IoT CybersecurityImprovement Act) cherche à éviter dans les déploiements du gouvernement américain. Bien que cette loi ne s'applique pas directement à Yarbo, ses exigences, élaborées par l'Institut national des normes et des technologies (NIST), correspondent parfaitement aux défaillances constatées dans cette affaire.

C'est donc toujours aux utilisateurs de s'assurer que :

  • Modifiez les identifiants par défaut.
  • Avant d'acheter un produit IoT, vérifiez si le fournisseur propose des mises à jour et si celles-ci sont faciles à installer. Veillez ensuite à installer les mises à jour dès qu'elles sont disponibles.
  • Si possible, connectez vos appareils IoT à un réseau distinct. Utilisez un réseau Wi-Fi réservé aux invités ou un VLAN distinct, si cela est possible.
  • Désactivez ce dont vous n'avez pas besoin. Désactivez l'UPnP, l'accès à distance, le contrôle via le cloud et les services superflus si vous ne les utilisez pas activement.
  • Si votre routeur ou votre suite de sécurité enregistre les connexions des appareils IoT, parcourez ces journaux à la recherche de pics inhabituels ou de destinations inconnues.

Soyons réalistes, une fenêtre de navigation privée a ses limites.

Fuites de données, commerce sur le dark web, fraude à la carte de crédit. Malwarebytes Identity Theft surveille tous ces risques, vous alerte rapidement et inclut une assurance contre l'usurpation d'identité. 

À propos de l'auteur

Pieter Arntz

Pieter Arntz

Chercheur en intelligence malveillante

A été un Microsoft MVP dans le domaine de la sécurité des consommateurs pendant 12 années consécutives. Parle quatre langues. Sente l'acajou et les livres reliés en cuir.

DERNIERS ARTICLES

Insectes
Logo Microsoft

Mise à jour du mardi de mai 2026 : pas de vulnérabilités « zero-day », mais de nombreux correctifs à installer

Mai 13, 2026

Le « Patch Tuesday » de mai n'est peut-être pas la mise à jour majeure à laquelle beaucoup s'attendaient, mais il contient tout de même de nombreux correctifs importants qu'il ne faut pas négliger.

Actualités
Logo Claude

De faux résultats de recherche concernant Claude attirent Mac dans une attaque ClickFix

Mai 12, 2026

Des chercheurs ont découvert une campagne ClickFix qui utilise de faux guides d'installation de Claude pour inciter Mac à infecter eux-mêmes leur ordinateur.

Actualités
Un groupe de jeunes qui ont l'air heureux

Les données volées sur Canvas ont été « restituées » après hacker , selon Instructure

Mai 12, 2026

Instructure affirme que les données volées sur Canvas, qui concernaient des millions d'étudiants et de membres du personnel, ont été « restituées ». Ce n'est pas ainsi que fonctionnent les violations de données.

Articles connexes

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries