En cherchant à contrôler son aspirateur robot avec une manette Playstation, un programmateur français a pu accéder, par inadvertance, à des milliers d'objets connectés, à l'insu de leurs propriétaires. Alerté, le groupe chinois DJI a assuré avoir corrigé la «vulnérabilité» de ses appareils.
Un simple bricolage informatique a suffi à mettre le doigt sur une grosse faille de sécurité. En voulant piloter son aspirateur robot à l’aide d’une manette PlayStation, le programmeur français Samyy Azdoufal a eu accès, presque par accident, à près de 7.000 appareils connectés, à l’insu de leurs propriétaires.
Une démonstration des dérives possibles des objets connectés, dont la présence dans les foyers explose. L’affaire concerne les aspirateurs intelligents Romo, fabriqués par le groupe chinois DJI, déjà connu pour ses drones.
Localisation de l'appareil, plan complet des logements...
«Il y a une appli liée à l’aspirateur», explique le développeur de 32 ans installé à Barcelone et joint cette semaine par l’AFP. «Donc j’ai essayé de comprendre ce que l’appli envoyait au robot quand je déplaçais le robot». En poussant plus loin ses tests, il imagine même faire réagir l’appareil par un signal sonore lorsque la batterie faiblit. «Parfois mon cerveau est bizarre», plaisante-t-il.
Mais la plaisanterie tourne court. En cherchant un simple indicateur de batterie, Sammy Azdoufal découvre avec stupeur qu’il peut consulter les données de milliers d’autres aspirateurs. «Vous pouvez avoir plan complet de toutes les pièces, vous pouvez avoir accès à la caméra, au micro», et même localiser approximativement chaque appareil.
«Des normes strictes en matière de confidentialité et de sécurité des données»
Pris de panique, l’ancien spécialiste de cybersécurité alerte immédiatement le fabricant. Sans réponse rapide, il se tourne vers le média américain «The Verge», qui confirme l’ampleur de la faille : le Français parvient à visualiser précisément le logement d’un journaliste et à savoir quand l’aspirateur fonctionne.
S’il n’a pas pu en prendre contrôle ni activer caméra ou micro, l’alerte pousse DJI à restreindre l’accès à ces fonctions. De son côté, le groupe assure avoir corrigé la «vulnérabilité» via deux mises à jour début février, «sans aucune action requise de la part des utilisateurs». «DJI se conforme à des normes strictes en matière de confidentialité et de sécurité des données», affirme l’entreprise, qui promet un renforcement des protections.
