Une faille de sécurité expose des milliers de foyers à travers le monde
En voulant simplement piloter son aspirateur robot DJI Romo avec une manette PlayStation 5, un homme a accidentellement obtenu un accès à distance à quelque 7 000 appareils Romo répartis aux quatre coins du globe. Le résultat ? La possibilité de voir en direct l'intérieur des domiciles de milliers d'inconnus via Internet.
Sammy Azdoufal avait développé une application personnalisée pour connecter son contrôleur PS5 à son aspirateur DJI Romo. Ce que personne n'anticipait, c'est l'ampleur vertigineuse de l'accès que les serveurs de DJI allaient lui accorder.
Le DJI Romo, un aspirateur taillé dans la technologie des drones
Lancé l'année dernière, le DJI Romo n'est pas un aspirateur ordinaire. Il s'appuie directement sur le savoir-faire de DJI en matière de drones, intégrant notamment un système de détection d'obstacles, une vision stéréoscopique et des capteurs fisheye binoculaires. Une technologie impressionnante… qui s'est révélée être un vecteur de vulnérabilités critiques.
Comment un simple token a ouvert les portes de milliers d'appareils
Azdoufal n'a ni piraté quoi que ce soit, ni contourné le moindre système de sécurité. Il a simplement utilisé un token privé extrait de son propre appareil. Pour une raison encore inexpliquée, les serveurs mondiaux de DJI lui ont alors accordé un accès global, y compris à des serveurs de pré-production internes.
Depuis son application, il pouvait :
- Voir et écouter en temps réel via les caméras de n'importe quel Romo connecté
- Localiser approximativement un appareil à partir de son adresse IP
- Se connecter également aux stations de batterie portables DJI Power
- Obtenir un plan précis de l'intérieur d'un logement à partir du numéro de série de l'appareil
Une démonstration en direct particulièrement troublante
Pour prouver la réalité de cette faille, Azdoufal a réalisé une démonstration en direct. En utilisant le numéro de série d'un Romo récemment testé par un journaliste, il a réussi à reconstituer le plan de l'appartement de ce dernier et à accéder à un flux vidéo en direct provenant du robot. Édifiant.
L'accès s'étendait à environ 7 000 unités dans le monde entier, exposant potentiellement autant de foyers à une surveillance non consentie.
DJI informé en amont, mais la faille persistait
Avant même la démonstration, DJI avait été alerté de l'existence de ces vulnérabilités. La marque avait alors affirmé avoir déjà corrigé le problème. Pourtant, la démonstration en conditions réelles a prouvé le contraire — les failles étaient toujours bien présentes.
Corriger des vulnérabilités de sécurité complexes prend du temps, c'est une réalité. Mais le fait qu'un tel niveau d'accès ait pu exister en premier lieu soulève des questions fondamentales sur la conception de l'architecture serveur de DJI.
Des failles encore présentes, une résolution annoncée "dans les semaines à venir"
À l'heure actuelle, certaines vulnérabilités du DJI Romo demeurent non corrigées. DJI a indiqué qu'elles seraient résolues "dans les semaines à venir." Par mesure de précaution, Azdoufal et les journalistes qui ont couvert l'affaire ont choisi de ne pas divulguer publiquement tous les détails techniques, le temps que les correctifs soient pleinement déployés.
Cette affaire n'est malheureusement pas isolée. Les objets connectés à usage domestique ont déjà été au cœur de nombreux scandales de sécurité par le passé, et ce ne sera sans doute pas le dernier.
La confiance des utilisateurs, un enjeu central
Comme le résume parfaitement bien la situation : « Quand quelqu'un installe une caméra dans son foyer, il s'attend à ce que ses données soient protégées, aussi bien lors de leur transmission que lorsqu'elles atteignent les serveurs. »
C'est là l'enjeu fondamental de cette affaire. La confiance numérique repose sur la promesse que nos appareils domestiques intelligents ne se transforment pas en fenêtres ouvertes sur notre vie privée. Une promesse que DJI devra tenir — et démontrer — dans les semaines à venir.
