Prise de contrôle à distance, localisation des propriétaires, mots de passe Wi-Fi et flux caméra exposés :
des milliers de robots-tondeuses Yarbo livrés avec une backdoor permanente qu'un chercheur a pu exploiter

Un chercheur en sécurité a découvert qu'il pouvait prendre le contrôle à distance de robots Yarbo connectés au backend de l'entreprise, quelque 6 000 appareils affectés selon ses propres relevés publiés sur GitHub, et l'a démontré depuis l'Allemagne en manœuvrant l'un d'eux, une machine de 90 kilos équipée de lames, au-dessus du corps d'un journaliste allongé au sol. L'incident dépasse largement le cadre d'un bug logiciel ordinaire : il expose les angles morts béants d'un secteur de la robotique grand public qui commercialise des engins physiquement dangereux avec des pratiques de sécurité dignes d'une startup IdO des années 2010.

Le 07 mai, le journaliste Sean Hollister s'est allongé dans la terre de son jardin pendant qu'un chercheur en sécurité basé en Allemagne prenait le contrôle de la tondeuse robot qui se trouvait devant lui. Andreas Makris, opérant depuis près de 9 600 kilomètres de distance, a fait avancer la machine de 90 kilos jusqu'à ce qu'elle commence à grimper sur la poitrine du journaliste. Le bouton d'arrêt d'urgence physique du robot, seul mécanisme de sécurité garanti, était hors de portée; personne sur place ne pouvait l'atteindre à temps, et Makris était à l'autre bout de la planète.

La machine en question est la Yarbo, un robot modulaire commercialisé aux alentours de 5 000 dollars, capable de tondre, souffler la neige, aspirer les feuilles ou tailler les bordures selon les accessoires fixés sur son châssis commun. Équipée de caméras pour cartographier son environnement, d'une connexion Wi-Fi et 4G, et de lames capables d'infliger des blessures graves, la Yarbo présente un potentiel destructeur considérable entre de mauvaises mains. Matt Petach, ancien architecte réseau chez Microsoft et propriétaire d'un de ces robots, a résumé la situation en ces termes : la sécurité de Yarbo ressemble à « une tronçonneuse sans protège-main, sans frein, avec une chaîne mal tendue prête à vous emporter la jambe ».

Nom : yarbo.png Affichages : 52706 Taille : 818,3 Ko

Des vulnérabilités élémentaires : le mot de passe universel

Chaque robot Yarbo tourne sous Linux et partage le même mot de passe root sur l'ensemble de la flotte. Aucune option de modification permanente n'est disponible pour l'utilisateur final : le mot de passe se réinitialise à sa valeur par défaut à chaque mise à jour du firmware. Compromettre un seul appareil revient donc à disposer d'un accès potentiel à l'ensemble du parc connecté.

Ce n'est pas un oubli de configuration : c'est une faille structurelle désormais formellement documentée. Le CVE-2026-7414, publié le 7 mai 2026, décrit des identifiants administratifs intégrés directement dans l'image firmware v2.3.9, identiques sur tous les appareils et impossibles à modifier ou supprimer par l'utilisateur. La vulnérabilité a reçu un score CVSS de 9,8 sur 10, une faille critique donc. Un second CVE, le CVE-2026-7415, documente l'implémentation du protocole MQTT utilisé pour l'orchestration des commandes, déployé sans contrôle d'accès adéquat.

La surface d'attaque ne s'arrête pas là : le système d'exploitation affiche le mot de passe Wi-Fi de l'utilisateur en clair, faisant potentiellement de chaque robot une tête de pont pour des attaques sur l'ensemble des appareils connectés au réseau domestique. Ironie cruelle : après la divulgation publique, les mises à jour automatiques du firmware ont continué à réinitialiser les mots de passe à leurs valeurs d'usine, ré-exposant les appareils que les utilisateurs avaient tenté de sécuriser manuellement.

Ce que Makris pouvait faire : données, caméras, commandes

En accédant au backend de Yarbo, Makris a pu consulter les données de quelque 6 000 appareils : coordonnées GPS des domiciles, adresses e-mail des propriétaires, mots de passe Wi-Fi et flux vidéo en direct des caméras embarquées. La localisation physique des utilisateurs était lisible en temps réel, à l'échelle mondiale.

La portée concrète de cette capacité a été illustrée de façon saisissante. Wayne Yu, propriétaire californien d'une Yarbo, avait d'abord minimisé les risques lorsque Makris lui en a parlé. Son attitude a changé du tout au tout quand le chercheur lui a montré en direct ses mots de passe Wi-Fi et les coordonnées de son domicile affichées sur un écran à l'autre bout du monde. « Not good. Not good », a-t-il lâché. Matt Petach, l'ex-architecte réseau de Microsoft, avait quant à lui pris soin d'isoler son robot sur un réseau invité avec un filtrage personnalisé, il a néanmoins eu la surprise de voir un journaliste de The Verge sonner à sa porte, conduit jusqu'à lui par la machine censée garder sa pelouse en ordre.

Parmi les appareils cartographiés, environ 5 000 étaient localisés aux États-Unis. Makris a également identifié des appareils déployés dans des entreprises, des universités et des bâtiments gouvernementaux. Fait particulièrement préoccupant : 12 robots se trouvaient dans un rayon de 3 kilomètres d'une centrale nucléaire, dont l'un semble appartenir à un analyste en sécurité nucléaire.

Au-delà de la collecte de données, Makris a démontré qu'il pouvait pirater des robots en pleine session de tonte depuis l'Allemagne, court-circuiter les arrêts d'urgence et actionner les lames à distance. La capacité à enrôler ces appareils dans un botnet pour mener des activités illicites via les réseaux Wi-Fi de leurs propriétaires était également, selon ses analyses, à portée de main.

Un précédent récent : le hack DJI de février 2026

L'affaire Yarbo ne survient pas dans un vide. En février 2026, Sammy Azdoufal avait déjà démontré la prise de contrôle à distance de plusieurs milliers d'appareils IdO DJI selon un mécanisme comparable. La différence fondamentale entre les deux incidents tient à la nature physique des engins concernés : un drone peut causer des dégâts, mais une tondeuse-robot de 90 kilos avec des lames rotatives opère au niveau du sol, là où se trouvent des enfants, des animaux domestiques, et des adultes qui lui font confiance pour cartographier leur propriété en toute autonomie.

MQTT, télémétrie ByteDance et une adresse new-yorkaise fantôme

Les problèmes de Yarbo débordent du strict périmètre technique. La télémétrie de chaque robot Yarbo transitait par les serveurs de ByteDance, la maison mère de TikTok. Ce détail situe l'affaire dans le contexte plus large des tensions géopolitiques autour des équipements connectés d'origine chinoise, un débat déjà bien engagé avec DJI dans le secteur des drones, et qui prend ici une dimension supplémentaire : contrairement à un drone en vol, une tondeuse-robot connaît le plan précis de votre propriété, vos horaires d'utilisation, votre réseau Wi-Fi domestique et, potentiellement, les allées et venues de votre foyer.

Yarbo se présente officiellement comme une entreprise basée à New York, mais l'identifiant du package de l'application Android désigne Hanyangtech, une société de Shenzhen, comme maison mère. L'enquête de The Verge a établi que l'adresse new-yorkaise revendiquée correspond en réalité à un bureau partagé occupé notamment par des prestataires d'entretien automobile et une boutique Etsy vendant des bracelets en cuir à pointes. Cette opacité délibérée sur les origines réelles de l'entreprise complique toute démarche de recours pour les utilisateurs et ajoute une couche de méfiance légitime pour les autorités de régulation.

La réponse initiale de Yarbo : la minimisation érigée en méthode

Lorsque Makris a contacté Yarbo en suivant le protocole habituel de divulgation responsable, la réaction de l'entreprise a été de minimiser le problème, le qualifiant de choix délibéré de conception destiné à « fournir des solutions rapides et précises aux problèmes mécaniques ou logiciels ». Cette réponse a convaincu le chercheur que seule la pression médiatique permettrait une prise en charge sérieuse. Il a donc transmis ses conclusions à The Verge sans passer par une période de divulgation coordonnée, une décision rare dans la communauté de la recherche en sécurité, généralement attachée au principe de responsible disclosure, mais que la posture initiale de Yarbo rendait, selon lui, inévitable.

La pression publique a produit son effet. Le 8 mai 2026, Kenneth Kohlmann, cofondateur de Yarbo, a publié une déclaration d'environ 1 200 mots dans laquelle il reconnaissait l'exactitude des conclusions techniques de Makris et présentait ses excuses. Il a confirmé que les problèmes concernaient principalement des choix de conception historiques dans les systèmes d'accès distant, de gestion des identifiants et de traitement des données, et a reconnu que la réponse initiale de l'entreprise n'avait pas reflété le sérieux des enjeux soulevés.

Sur le plan opérationnel, Yarbo a annoncé la désactivation temporaire de l'accès à distance, la réinitialisation des mots de passe root, la restriction de certains points d'accès non authentifiés, la transition vers des identifiants propres à chaque appareil, la création d'un centre de réponse aux incidents de sécurité et l'ouverture envisagée d'un programme de bug bounty. Ces engagements restent néanmoins en demi-teinte : la backdoor d'accès distant sera conservée, mais sous des contrôles plus stricts nécessitant une autorisation explicite de l'utilisateur. Et surtout, les correctifs les plus critiques concernent le firmware embarqué, dont la mise à jour par voie hertzienne représente un défi logistique pour une flotte dispersée sur plus de trente pays.

Nom : reach.png Affichages : 9436 Taille : 26,4 Ko

Le verdict du marché : 44 téléchargements en 90 jours

Un chiffre dit beaucoup sur l'état réel de l'écosystème Yarbo. Selon les données de MWM Intelligence, l'application iOS de Yarbo a enregistré 44 téléchargements sur les 90 jours précédant le 7 mai 2026, et à peine 120 sur l'année écoulée. Pour une flotte de 6 000 robots connectés au backend dans plus de 30 pays, ce chiffre suggère un décalage massif entre les appareils déployés et les utilisateurs réellement engagés avec l'écosystème logiciel ou, plus inquiétant, une large proportion de machines opérant avec un firmware jamais mis à jour faute d'interaction régulière avec l'application.

Nom : according.png Affichages : 9403 Taille : 33,5 Ko

Le problème systémique : quand le bug IdO devient risque physique

L'affaire Yarbo n'est pas un incident isolé. Elle cristallise une tendance de fond dans le secteur de la robotique grand public : des fabricants qui pensent la connectivité comme une fonctionnalité et la sécurité comme un coût différé. La différence fondamentale avec un bug dans une application mobile ou un objet connecté passif, c'est qu'ici la faille logicielle se traduit directement en danger corporel.

Pour les investisseurs et les acheteurs institutionnels, l'enjeu dépasse la dette technique : une faille de sécurité peut déclencher des demandes de remboursement, des rappels de produits, des enquêtes réglementaires, des exclusions assurantielles et des blocages dans les procédures d'achats d'entreprise. Dans des contextes industriels ou gouvernementaux, la question n'est plus « ce produit est-il pratique ? » mais « peut-on auditer son accès distant et garantir que ses données ne transitent pas par des serveurs tiers non déclarés ? »

Les régulateurs européens, qui s'apprêtent à appliquer le Cyber Resilience Act à l'ensemble des produits connectés mis sur le marché dans l'Union [bien que le règlement soit actif depuis le 10 décembre 2024, , l'application concrète des obligations pour les fabricants et distributeurs est progressive, avec une mise en conformité complète requise d'ici fin 2027], auront dans l'affaire Yarbo un cas d'école : identifiants codés en dur identiques sur toute la flotte, mot de passe Wi-Fi affiché en clair, télémétrie acheminée vers ByteDance, backdoor non désactivable par l'utilisateur et siège social opaque. Chacun de ces éléments constitue, pris isolément, une violation caractérisée des exigences du règlement. Ensemble, ils dessinent le portrait d'une entreprise qui a traité la sécurité comme une variable d'ajustement, jusqu'à ce qu'un chercheur décide de monter une tondeuse sur la poitrine d'un journaliste pour forcer la prise de conscience.

Sources : GitHub de Andreas Makris, Kenneth Kohlmann (cofondateur de Yarbo), Sean Hollister, ANSSI

Et vous ?

Le Cyber Resilience Act suffira-t-il ? Le règlement européen impose des exigences minimales de sécurité pour les produits connectés, mais son entrée en vigueur progressive laisse encore de nombreux appareils déjà en circulation hors de portée. Comment réglementer rétrospectivement une flotte de robots déjà déployés ?

La divulgation sans coordination est-elle légitime ? Makris a choisi de publier sans délai de grâce après la réponse jugée insuffisante de Yarbo. Ce choix met les utilisateurs en danger à court terme mais force une réaction rapide du fabricant. Où situer le curseur entre intérêt public et responsabilité du chercheur ?

La télémétrie ByteDance doit-elle déclencher une interdiction ? Si les drones DJI ont été bannis de certains usages fédéraux américains en raison de leurs liens avec la Chine, la même logique s'applique-t-elle à des robots domestiques qui connaissent l'adresse, le réseau Wi-Fi et les habitudes de déplacement de leurs propriétaires ?

La sécurité physique doit-elle être découplée de la sécurité logicielle ? L'arrêt d'urgence de la Yarbo est physique, mais sa logique de détection d'obstacle est logicielle et peut être court-circuitée par une commande distante. Faut-il imposer des coupe-circuits matériels inviolables sur tout engin autonome capable de causer des blessures ?

Qui est responsable quand un robot piraté blesse quelqu'un ? Le fabricant, l'opérateur du service cloud, le distributeur ou l'utilisateur qui a mis l'appareil en réseau ? Le cadre juridique actuel n'a pas de réponse claire.