Le récent faille de sécurité dans les aspirateurs robots DJI ROMO Cette affaire a soulevé de sérieuses inquiétudes quant aux risques liés à l'utilisation d'un appareil doté d'une caméra et d'un microphone intégrés, qui se déplace dans nos foyers et devient une porte d'entrée pour des tiers. Elle a eu un impact considérable en Europe, notamment dans des pays comme l'Espagne, où Ces appareils commencent à s'implanter dans les foyers..
Ce qui semblait être un simple robot de nettoyage haut de gamme s'est avéré être un exemple très clair de la façon dont un mauvaise gestion des permissions et de l'authentification Cela peut compromettre la vie privée de milliers d'utilisateurs. Pendant plusieurs jours, il a été possible de contrôler à distance des aspirateurs ROMO, de visionner les images de leurs caméras, d'écouter les conversations via leurs microphones et même de dessiner des plans détaillés des maisons à l'insu des propriétaires.
Une expérience nationale qui a révélé une fracture mondiale
Le protagoniste de cette histoire est Sammy AzdoufalDirecteur de la stratégie en intelligence artificielle chez Emerald Stay, une société de location de logements, et développeur d'applications basé à Barcelone. Tout a commencé lorsqu'il a décidé, presque par curiosité, Connectez votre aspirateur DJI ROMO à une manette PlayStation 5 pour la contrôler comme s'il s'agissait d'une voiture télécommandée.
Pour ce faire, Azdoufal a créé un application de télécommande À l'aide d'un assistant IA, il a décrypté les protocoles de communication de DJI. Son intention initiale était simplement de communiquer avec son propre robot, mais lorsqu'il s'est connecté aux serveurs de l'entreprise, un événement inattendu s'est produit : des milliers d'aspirateurs qui n'étaient pas les siens ont commencé à répondre.
En quelques minutes, son ordinateur portable a identifié environ 6 700 à 7 000 appareils étalé sur Pays 24par la suite, il a acquis une certaine visibilité. 10.000 appareils entre les robots ROMO et d'autres équipements connectés. Toutes les quelques secondes, les appareils envoyaient des messages contenant des données d'état, les itinéraires de nettoyage, les numéros de série et d'autres informations techniques qui s'accumulaient à plus de 100 000 messages MQTT en seulement neuf minutes.
La gravité de l'affaire ne se limite pas au nombre d'appareils touchés, mais tient également au fait que l'accès a été obtenu grâce à un seul élément : le jeton privé extrait du propre robot d'Azdoufal. Cet identifiant, destiné à permettre aux serveurs de reconnaître un utilisateur légitime, agissait en pratique comme une sorte de « clé maîtresse » ce qui a ouvert la porte à des milliers d'autres robots.
Les médias spécialisés tels que The Verge Ils ont vérifié la vulnérabilité de visu : un journaliste a permis à Azdoufal de tenter de contrôler son ROMO depuis Barcelone, et il est parvenu à piloter le robot à distance simplement en connaissant son identifiant. numéro de série, sans avoir besoin de mots de passe supplémentaires.
Que pouvaient voir et faire les attaquants avec le ROMO
La portée de cette vulnérabilité va bien au-delà de la simple mise en marche ou extinction à distance d'un aspirateur. Grâce à cette faille dans la validation des autorisations, toute personne exploitant ce problème pourrait contrôler les mouvements du robot et accéder à des informations extrêmement sensibles sans aucune autorisation du propriétaire.
Les données et fonctions accessibles incluaient les caméras intégrées des modèles les plus avancésCela permettait aux utilisateurs de visualiser des images en direct de l'intérieur des maisons. De plus, le système offrait à toute personne connectée l'accès à… Cartes 2D des maisons générées lors des sessions de nettoyage, avec le plan de chaque pièce, couloir et obstacle détecté.
En plus de tout cela, il était possible de consulter des paramètres tels que… niveau de batterie, itinéraire exact Ces données, provenant du robot, des pièces qu'il nettoyait à un moment donné ou des objets rencontrés sur son parcours, pourraient permettre à un attaquant de… déduire les habitudes et les routines, savoir quand une maison est vide ou localiser des zones particulièrement sensibles à l'intérieur d'une habitation.
Dans certains cas, le robot peut également servir de point de départ pour déterminer emplacement approximatif Ces informations proviennent de l'utilisateur, soit via l'adresse IP, soit via les informations réseau associées. Cette combinaison – cartes du domicile, images, enregistrements audio et données techniques – transforme un simple appareil en une source d'informations domotiques très performante.
Azdoufal insiste sur le fait que, lors de ses tests, Il n'a pas eu recours à des techniques de force brute Il n'a pas non plus piraté les systèmes cryptés de manière traditionnelle. D'après son propre témoignage, il a simplement utilisé le jeton de son appareil et a constaté que les serveurs, en raison d'un défaut de conception, lui fournissaient des données provenant de milliers d'autres utilisateurs.
Fonctionnement de la vulnérabilité : le problème du jeton et du backend
Au cœur de cet incident se trouve le système de communication entre les Les robots ROMO et la plateforme DJI Homequi utilise le protocole MQTT pour envoyer et recevoir des données en temps réel. Cette technologie est courante dans l'Internet des objets car elle est légère et efficace, mais elle nécessite un gestion rigoureuse des permis afin que chaque appareil ne puisse accéder qu'à ses propres informations.
Comme l'a expliqué l'entreprise elle-même, le problème résidait dans un Échec de la validation des autorisations côté serveurLe problème ne résidait pas dans le chiffrement des communications. Autrement dit, les données ont transité de manière sécurisée sur le réseau, mais une fois à l'intérieur de l'infrastructure de DJI, les paramètres déterminant ce que chaque client peut voir n'étaient pas correctement configurés.
En pratique, le jeton privé du robot d'Azdoufal agissait comme un identifiant global Cela permettait au système de s'abonner aux messages d'autres appareils, de recevoir leurs données télémétriques et même d'exécuter des actions à distance. Cette faille amenait le système à accepter ces requêtes comme légitimes, sans vérifier correctement que chaque requête provenait exclusivement du bot autorisé.
Ce type de vulnérabilité est particulièrement grave car il se produit « côté serveur ». Même si l'utilisateur dispose d'une connexion chiffrée et d'une application apparemment sécurisée, si le système dorsal n'implémente pas de mesures de sécurité, la vulnérabilité peut tout de même être exploitée. politiques de contrôle d'accès strictesUn attaquant possédant les connaissances adéquates peut se déplacer assez librement au sein du cloud du fabricant.
Les experts en cybersécurité soulignent que des cas comme celui-ci démontrent que le chiffrement seul ne suffit pas : TLS protège le canalToutefois, cela n'empêche pas un service mal configuré de transmettre des informations sensibles au mauvais destinataire. C'est pourquoi ces mesures sont si importantes. audits de sécurité externes et les programmes de primes aux bogues, en particulier pour les produits qui sont littéralement installés au domicile de l'utilisateur.
Réponse de DJI : des correctifs rapides et un message de calme
Suite à l'annonce de cette découverte par Azdoufal et à sa publication ultérieure dans les médias internationaux, DJI a confirmé que la vulnérabilité avait déjà été corrigée. complètement résoluSelon Daisy Kong, porte-parole de l'entreprise, DJI Home a détecté en interne un problème fin janvier et a commencé à déployer des correctifs peu après.
Plus précisément, l'entreprise affirme avoir lancé un Première mise à jour le 8 février, suivi d'une autre mise à jour sur 10 pour Février afin de garantir que la correction ait été appliquée à tous nœuds de serviceL'entreprise affirme que cette deuxième mise à jour est celle qui a finalement permis d'étendre la solution à l'ensemble de son infrastructure, rétablissant ainsi les contrôles d'autorisation qui avaient initialement échoué.
DJI souligne que la panne s'est limitée à un seul cas. possibilité théorique d'accès non autorisé L’entreprise précise que les données vidéo en direct et autres provenant des ROMO sont transmises aux utilisateurs, et que les cas détectés sont « extrêmement rares » et concernent principalement des chercheurs en sécurité testant les appareils. Elle souligne par ailleurs que… Les communications n'étaient pas transmises en texte clair et que le chiffrement restait actif en permanence.
Après avoir reçu le rapport détaillé d'Azdoufal, la société a réaffirmé que «Il n'existe aucune preuve d'un impact plus large« concernant sa base d’utilisateurs et le fait que le problème soit déjà résolu. Cependant, le chercheur lui-même a admis auprès du média américain qu’il avait encore été capable de détecter un autre échec grave lié au ROMO, qui préfère pour le moment ne pas le rendre public afin de ne pas faciliter son exploitation.
L'entreprise insiste pour qu'ils maintiennent normes strictes en matière de confidentialité et de sécuritéqui ont investi dans des solutions de chiffrement de niveau industriel et qui disposent d'un programme de primes aux bogues pour encourager le signalement responsable de ces découvertes.
L'impact sur les utilisateurs en Espagne et en Europe
Dans le contexte européen, où le protection des données personnelles Compte tenu de la réglementation stricte du RGPD, un incident comme la faille de sécurité chez DJI ROMO ne passe pas inaperçu. Bien que l'entreprise affirme que le nombre de victimes réelles est très limité, le fait qu'il ait été techniquement possible d'y accéder caméras, microphones et cartes du domicile Le fait que des milliers d'utilisateurs soient touchés est, en soi, un motif d'inquiétude.
Dans des pays comme l'Espagne, où de plus en plus de ménages optent pour la domotique et les objets connectés, ce cas nous rappelle que Un aspirateur robot n'est pas qu'un simple appareil ménager.Il s'agit d'un capteur mobile qui se déplace dans toute la maison et peut générer une image très précise du mode de vie d'une famille, des espaces qu'elle utilise, de l'endroit où elle range certains objets ou des moments où elle est généralement absente.
Les autorités de régulation européennes et les défenseurs de la vie privée mettent en garde depuis longtemps contre… Risques liés aux appareils équipés d'une caméra et d'un microphone Les appareils intégrés, des enceintes connectées aux sonnettes vidéo en passant par les caméras de sécurité domestiques, sont concernés. L'incident ROMO vient s'ajouter à une liste croissante de cas démontrant que toutes les marques ne prennent pas les enjeux de sécurité au même sérieux.
De plus, comme il s'agit d'une entreprise avec infrastructure mondiale et serveurs distribuésD'autres questions se posent quant au lieu précis de stockage des données, aux personnes autorisées à y accéder et à la juridiction compétente. Si le chiffrement rend l'accès aux données difficile pour les tiers externes, les employés ou services internes de l'entreprise peuvent, en théorie, traiter ces informations, ce qui renforce les exigences de responsabilité imposées aux fabricants et fournisseurs.
Pour les utilisateurs européens, ce type d'incident se traduit souvent également par un un contrôle réglementaire accru et les pressions exercées pour adopter des certifications spécifiques en matière de cybersécurité pour les produits de l'Internet des objets destinés à la maison, un sujet qui fait déjà l'objet de débats à Bruxelles et dans différentes capitales nationales.
Quelles mesures les propriétaires d'aspirateurs robots peuvent-ils prendre ?
Bien que DJI insiste sur le fait que Aucune autre action n'est requise. Du point de vue des utilisateurs, et étant donné que les correctifs ont déjà été appliqués, cet épisode met en lumière des recommandations pratiques qui peuvent contribuer à réduire les risques liés à tout aspirateur robot connecté, qu'il soit ou non de cette marque.
Premièrement, il est conseillé Vérifiez régulièrement les mises à jour du micrologiciel et l'application mobile associée. La plupart des fabricants activent les mises à jour automatiques, mais il est toujours conseillé de vérifier les paramètres pour s'assurer que votre appareil est à jour, surtout après ce genre d'annonce.
Il est également conseillé limiter les autorisations qui sont accordées aux applications : par exemple, évaluer s’il est strictement nécessaire d’autoriser l’accès à distance depuis l’extérieur du domicile, ou s’il est judicieux que l’application dispose d’autorisations permanentes pour la caméra ou le microphone du téléphone mobile lorsque certaines fonctions ne sont pas utilisées.
Une autre pratique prudente consiste contrôler les zones de la maison Les zones de déplacement du robot. De nombreux modèles permettent de définir des zones d'accès restreint ou des murs virtuels. Empêcher l'aspirateur d'accéder à des pièces particulièrement sensibles, comme les bureaux contenant des documents, les chambres d'enfants ou les zones où sont traitées des informations confidentielles, peut limiter les conséquences d'un éventuel incident.
Enfin, il est utile de maintenir un point de vue critique sur les appareils connectés qui sont intégrés à la maison : vérifiez les antécédents de sécurité du fabricant, vérifiez s’il a déjà eu des problèmes, examinez le type de données qu’il collecte et la manière dont il les stocke, et ne présumez pas que parce qu’il s’agit d’un produit populaire, il est automatiquement sûr.
L'affaire de DJI ROMO Il est désormais évident que même une marque dotée d'une expertise technologique et d'une forte présence internationale peut négliger un échec de validation des autorisations, avec des conséquences potentiellement graves. La domotique apporte confort et automatisation, mais elle implique aussi de reconnaître que chaque appareil connecté représente un point faible potentiel en cas de problème de conception ou de maintenance.
La vulnérabilité étant désormais corrigée, mais de nouvelles recherches étant en cours, cet incident sert d'avertissement aux fabricants comme aux utilisateurs : la sécurité d'un aspirateur robot ne se mesure pas seulement à son efficacité de nettoyage, mais aussi à sa capacité à protéger ce qu'il voit, entend et apprend de la maison dans laquelle il travaille.
