Il ne faut parfois pas grand-chose pour parvenir à accéder à des données extrêmement sensibles. Suite à une découverte des plus inattendues, un programmeur français tente d’alerter et de sensibiliser au sujet de la sécurité de nos appareils connectés. En ce début d’année, Sammy Azdoufal a voulu s’amuser à connecter une manette de PlayStation 5 à son aspirateur robot DJI Romo pour essayer de le contrôler d’une façon insolite. Mais ce qui aurait dû être un simple projet de programmation s’est transformé en un plongeon au sein de l’infrastructure réseau du constructeur habituellement spécialiste des drones.
En connectant son aspirateur à son application de contrôle développée rapidement dans le cadre de ce projet personnel, Sammy Azdoufal a eu la surprise de découvrir que l’accès à son appareil lui offrait également le contrôle sur plus de 7000 aspirateurs robots de la marque à travers le monde. Le problème, c’est que cet accès ne concernait pas seulement le déplacement des aspirateurs via la manette de PlayStation 5. Les paquets de données communiqués comprenaient également le numéro de série des appareils, leur pourcentage de batterie, la distance parcourue, mais aussi la cartographie des appartements ainsi que le retour vidéo des caméras permettant aux aspirateurs de s’orienter et d’identifier leur environnement. Tout cela alors que le programmeur français n’a même pas eu recours à des méthodes de hacking sophistiquées.
Accéder à n’importe quel aspirateur via le numéro de série
Sean Hollister, journaliste de The Verge ayant pris contact avec Sammy Azdoufal, a pu constater l’ampleur de cette faille sans précédent. En fournissant au programmeur le numéro de série d’un aspirateur DJI Romo appartenant à l’un de ses collègues l’ayant récemment testé, les deux hommes sont parvenus à consulter le plan de l’appartement du collègue en question, ainsi que le retour caméra de l’aspirateur. “Je n’ai enfreint aucune règle, je n’ai pas contourné, je n’ai pas piraté, utilisé la force brute, quoi que ce soit d’autre” explique le programmeur français, ancien expert en cybersécurité. Celui-ci s’est contenté d’extraire le token privé de son propre aspirateur, cette clé numérique qui aurait simplement dû lui permettre d’accéder aux données de son appareil et non à ceux des autres.
Quelles implications pour nos autres appareils connectés ?
Sammy Azdoufal a immédiatement alerté les équipes de DJI, qui ont depuis pris soin de corriger de cette faille avec deux correctifs déployés au début du mois de février. Aucune action supplémentaire n’est nécessaire de la part des utilisateurs. Voici ce qu’a déclaré la marque suite à ce mini scandale :
“DJI applique des normes strictes en matière de confidentialité et de sécurité des données et a mis en place des processus permettant d’identifier et de traiter les vulnérabilités potentielles. L’entreprise a investi dans un système de cryptage conforme aux normes de l’industrie et gère depuis longtemps un programme de prime aux bogues. Nous avons examiné les conclusions et les recommandations communiquées par les chercheurs en sécurité indépendants qui nous ont contactés dans le cadre de ce programme, conformément à notre processus standard post-correction. DJI continuera à mettre en œuvre des améliorations supplémentaires en matière de sécurité dans le cadre de ses efforts continus.“
Mais cette découverte soulève bien des questions concernant les appareils connectés qui se multiplient au sein des foyers. D’autres marques ont déjà subi des piratages du genre (comme Ecovacs en 2024), ce qui porte à croire que les systèmes de sécurité des appareils de domotique sont encore loin d’être au point. Comment savoir si nos aspirateurs, nos caméras ou même nos distributeurs automatiques de croquettes ne sont pas à une simple faille de dévoiler des informations sensibles à des personnes malintentionnées ? Une chose est sûre, ce genre d’affaires doit nous pousser à être plus vigilants quant à la confiance que l’on accorde aux géants de la robotique et de la surveillance domestique.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
