Un homme prend accidentellement le contrôle de 7 000 aspirateurs robots
Un homme prend accidentellement le contrôle de 7 000 aspirateurs robots, révélant une faille de sécurité majeure, alors qu'il souhaitait piloter son DJI Romo à l'aide d'une manette de jeu utilisant Claude Code
À l'aide d'un outil d'IA, un propriétaire a accidentellement contrôlé des milliers d'aspirateurs robots. Un propriétaire d'aspirateur DJI Romo voulait connecter son appareil à une manette PS5. Il a fini par révéler une énorme faille de sécurité. Bien que DJI ait déclaré que le problème avait été « résolu », cet épisode dramatique souligne les avertissements des experts en cybersécurité qui alertent depuis longtemps sur le fait que les robots connectés à Internet et autres appareils domestiques intelligents constituent des cibles attrayantes pour les pirates informatiques.
Les maisons deviennent de plus en plus intelligentes. La prochaine fois que vous achèterez un grille-pain, un réfrigérateur ou un lave-vaisselle, il vous faudra peut-être vous connecter au réseau WiFi de votre domicile et télécharger une application sur votre téléphone. Mais cette interconnectivité comporte des risques, explique David Choffnes, professeur agrégé d'informatique à la Northeastern University.
Récemment, un incident vient confirmer cette conclusion. À l'aide d'un outil d'IA, un propriétaire a accidentellement contrôlé des milliers d'aspirateurs robots. Un propriétaire d'aspirateur DJI Romo voulait connecter son appareil à une manette PS5. Il a fini par révéler une énorme faille de sécurité. SZ DJI Technology Co., Ltd. ou Shenzhen Da-Jiang Innovations Sciences and Technologies Ltd. ou DJI, est une entreprise technologique chinoise qui fabrique des véhicules aériens sans pilote (drones) à usage commercial pour la photographie et la vidéographie aériennes. Elle conçoit et fabrique également des systèmes de caméras, des stabilisateurs à cardan, des systèmes de propulsion, des logiciels d'entreprise, des équipements agricoles aériens et des systèmes de contrôle de vol.
Sammy Azdoufal a utilisé Claude Code pour créer une application permettant de connecter son tout nouvel aspirateur DJI Romo à une manette PS5. C'est alors qu'il a remarqué quelque chose d'étrange. L'application ne contrôlait pas seulement son aspirateur. Elle en contrôlait des milliers. Par accident, Azdoufal avait pris le contrôle d'environ 7 000 aspirateurs robots DJI à travers le monde, chacun répondant au code qu'il avait l'intention d'utiliser uniquement pour son propre appareil. « J'ai découvert que mon appareil n'était qu'un parmi une multitude d'autres », a-t-il déclaré.
Il n'avait pas piraté les serveurs de DJI, a-t-il précisé. Il avait simplement extrait le jeton privé de son propre Romo, une clé destinée à prouver que vous êtes autorisé à accéder à votre propre appareil, mais les serveurs de DJI lui ont également renvoyé les données de milliers d'autres clients. « Je n'ai enfreint aucune règle. Je n'ai pas contourné, piraté, utilisé la force brute, rien de tout cela », a-t-il déclaré.
Avec seulement un numéro à 14 chiffres, Azdoufal pouvait contrôler à distance les robots, visionner les images en direct des caméras, écouter grâce aux microphones, vérifier le niveau des batteries et générer une carte 2D complète de chaque maison. À l'aide de l'adresse IP, il pouvait également estimer l'emplacement de l'appareil, a rapporté The Verge. Il a même accédé aux serveurs de préproduction de DJI ainsi qu'aux systèmes en direct aux États-Unis, en Chine et dans l'Union européenne, bien qu'il ait déclaré que son outil effaçait les données à chaque fois qu'il se fermait.
Il n'avait pas l'intention de révéler cette faille de sécurité, mais il était déterminé à la faire corriger. « Les gens participent au programme de prime aux bogues pour l'argent. Je m'en fiche. Je veux juste que cela soit corrigé », a-t-il déclaré. « Je pense que le fait de suivre les règles jusqu'au bout aurait probablement prolongé cette faille pendant encore longtemps. » DJI a déclaré avoir résolu le problème avant la publication de l'article, dans un communiqué adressé à The Verge : « DJI peut confirmer que le problème a été résolu la semaine dernière et que des mesures correctives étaient déjà en cours avant la divulgation publique. » Par la suite, Azdoufal n'a plus pu voir ni entendre à travers d'autres appareils.
Mais environ une demi-heure après l'envoi de la déclaration de DJI, il a déclaré qu'il pouvait toujours contrôler à distance des milliers d'aspirateurs. Il a affirmé que d'autres failles subsistaient, notamment la possibilité pour les utilisateurs de visionner leur propre flux vidéo DJI Romo sans le code de sécurité requis.
Tomber sur une faille de sécurité massive
Alors qu'il développait sa propre application de contrôle à distance, Sammy Azdoufal aurait utilisé un assistant de codage IA pour aider à rétroconcevoir la manière dont le robot communiquait avec les serveurs cloud distants de DJI. Mais il s'est rapidement rendu compte que les identifiants qui lui permettaient de voir et de contrôler son propre appareil lui donnaient également accès aux flux vidéo en direct, au son du microphone, aux cartes et aux données d'état de près de 7 000 autres aspirateurs dans 24 pays. Ce bug de sécurité a exposé toute une armée de robots connectés à Internet qui, entre de mauvaises mains, auraient pu être transformés en outils de surveillance, à l'insu de leurs propriétaires.
Le robot en question est le DJI Romo, un aspirateur domestique autonome lancé pour la première fois en Chine l'année dernière et qui s'étend actuellement à d'autres pays. Il coûte environ 2 000 dollars et a à peu près la taille d'un grand terrier ou d'un petit réfrigérateur lorsqu'il est connecté à sa station de base. Comme les autres aspirateurs robots, il est équipé d'une série de capteurs qui l'aident à se déplacer dans son environnement et à détecter les obstacles. Les utilisateurs peuvent le programmer et le contrôler via une application, mais il est conçu pour passer la plupart de son temps à nettoyer et à passer la serpillière de manière autonome.
Pour que le Romo, ou n'importe quel aspirateur autonome moderne, fonctionne, il doit constamment collecter des données visuelles sur le bâtiment dans lequel il opère. Il doit également comprendre les détails spécifiques qui différencient, par exemple, une cuisine d'une chambre à coucher, afin de pouvoir les distinguer. Certaines de ces données sont stockées à distance sur les serveurs de DJI plutôt que sur l'appareil lui-même. Pour que l'idée de contrôleur DIY d'Azdoufal fonctionne, il lui faudrait trouver un moyen pour que son application communique avec les serveurs de DJI et extraie un jeton de sécurité prouvant qu'il est le propriétaire du robot.
Au lieu de simplement vérifier un seul jeton, les serveurs ont accordé l'accès à une petite armée de robots, le traitant essentiellement comme leur propriétaire respectif. Cette erreur a permis à Azdoufal d'accéder à leurs flux vidéo en temps réel et d'activer leurs microphones. Il affirme également avoir pu compiler des plans en 2D des maisons dans lesquelles les robots opéraient. Un rapide coup d'œil aux adresses IP des robots a également révélé leur emplacement approximatif. Azdoufal insiste sur le fait qu'il ne s'agit en aucun cas d'un « piratage » de sa part. Il est simplement tombé sur un problème de sécurité majeur.
Heureusement, Azdoufal a choisi de ne pas exploiter cette faille. Il a plutôt partagé ses découvertes, qui a rapidement contacté DJI pour signaler le problème. Bien que DJI ait déclaré que le problème avait été « résolu », cet épisode dramatique souligne les avertissements des experts en cybersécurité qui alertent depuis longtemps sur le fait que les robots connectés à Internet et autres appareils domestiques intelligents constituent des cibles attrayantes pour les pirates informatiques.
« DJI a identifié une vulnérabilité affectant DJI Home lors d'un examen interne fin janvier et a immédiatement pris des mesures correctives », a déclaré DJI. « Le problème a été résolu grâce à deux mises à jour, avec un premier correctif déployé le 8 février et une mise à jour complémentaire effectuée le 10 février. Le correctif a été déployé automatiquement et aucune action de la part des utilisateurs n'est requise. » La société a ajouté qu'elle prévoyait de « continuer à mettre en œuvre des améliorations supplémentaires en matière de sécurité », sans toutefois préciser en quoi celles-ci consisteraient.
Le piratage accidentel d'Azdoufal soulève des questions plus larges sur la sécurité des maisons intelligentes de DJI. Si Claude Code pouvait ouvrir une fenêtre sur des milliers de foyers, quelles mesures de sécurité existaient en interne pour empêcher les employés de DJI de faire de même ? Et pourquoi un aspirateur a-t-il besoin d'un microphone ? « C'est tellement bizarre d'avoir un microphone sur un aspirateur », a déclaré Azdoufal.I can confirm that @DJIGlobal has finally fixed the HUGE vulnerability they had on their servers.
— Gonzague 👨🏼*💻 (@gonzague) February 11, 2026
This vulnerability was discovered by the very skillful @n0tsa , and he reported it to DJI.
It allowed to take remote control (movements, microphone, camera) of over 10 000 robots… pic.twitter.com/j1UunMmNXX
À mesure que de plus en plus de foyers adoptent des robots domestiques (y compris des modèles humanoïdes plus récents et plus interactifs), des vulnérabilités similaires pourraient devenir plus difficiles à détecter. Les outils de codage basés sur l'IA, qui permettent aux personnes ayant moins de connaissances techniques d'exploiter plus facilement les failles logicielles, risquent d'amplifier encore davantage ces inquiétudes.
Un autre exemple, en 2025, un fabricant a émis une commande d'arrêt à distance pour désactiver l'aspirateur intelligent après la décision de son possesseur d’empêcher la collecte des données. Ce dernier l’a ensuite réactivé à l'aide d'un matériel personnalisé et de scripts Python pour le faire fonctionner hors ligne. Le tableau ramène en surface des inconvénients connus avec les appareils connectés : le sentiment que le véritable possesseur est le fabricant qui empiète à sa sur la vie privée des utilisateurs. Faut-il ou pas avoir des appareils connectés à Internet dans son domicile ?
En outre, l’Internet des objets est-il plus une menace qu’il n’est utile ? La blague qui suit et dans laquelle on retrouve des avis de consommateurs et de travailleurs de la filière technologique donne des pistes de réflexion. Un « ma maison entière est intelligente » fait face à un « le seul appareil connecté dans ma maison est une imprimante et je garde un pistolet à côté pour pouvoir tirer dessus si elle fait un bruit que je ne reconnais pas. » L’un des débats les plus importants lorsqu’on parle des dispositifs connectés à Internet est celui de leur utilité face aux risques liés à leur utilisation, notamment, le piratage et l’intrusion dans la vie privée de leurs possesseurs.
Et vous ?
Pensez-vous que ce rapport est crédible ou pertinent ?
Voir aussi :
Répondre avec citation
Partager