il y a 1 day
4
Est-il possible de prendre le contrôle d’un robot aspirateur à distance ? C’est ce qu’affirme avoir fait Sammy Azdoufal, un programmeur français qui vit à Barcelone (Espagne). L’homme voulait, à la base, relier son aspirateur robot de la marque chinoise DJI Romo à sa manette PS5 pour le diriger. Il a fini par prendre le contrôle de 7 000 robots ménagers dans 24 pays différents, comme il l’a expliqué au média américain The Verge.
« Il y a une appli liée à l’aspirateur, détaille l’homme de 32 ans à l’AFP. Donc j’ai essayé de comprendre ce que l’appli envoyait au robot quand je déplaçais le robot ». Après avoir connecté sa manette de jeu, il s’est dit que l’aspirateur pourrait aussi émettre un son plaintif quand la batterie est faible. Après quelques manipulations, il a été étonné et « un peu effrayé » d’accéder aux données de milliers d’autres aspirateurs.
Un accès aux flux vidéo des caméras des aspirateurs
« Vous pouvez avoir un plan complet de toutes les pièces, vous pouvez avoir accès à la caméra, au micro », et obtenir une localisation approximative de chaque appareil grâce à l’adresse IP de chaque robot, indique Sammy Azdoufal qui a contacté le fabricant pour l’informer de la faille.
Sans réponse, il a contacté le média spécialisé The Verge, qui lui a fourni le numéro de série à 14 chiffres d’un aspirateur DJI Romo récemment testé par un membre de l’équipe. Sammy Azdoufal a ainsi pu avoir accès à un plan précis du logement du journaliste, sans pouvoir toutefois prendre le contrôle de l’aspirateur, voir à travers sa caméra ou écouter grâce à son micro. La faille a été corrigée entre-temps.
Mais ce hack pose question. Car comme le souligne Sammy Azdoufal, il n’a pas eu besoin de pirater le serveur.
Pour Alan Woodward, professeur d’informatique à l’université de Surrey, en Angleterre, ces incidents montrent que « la sécurité est un peu négligée » par certains fabricants. « On a souvent cette idée (…) qu’il faut innover pour rester compétitif, être le moins cher et proposer de nouvelles fonctionnalités, estime-t-il dans les colonnes du Guardian. Mais le problème, c’est que l’on a appris très tôt dans le développement logiciel que cette approche engendre inévitablement des failles de sécurité. »
L’entreprise a quant à elle indiqué avoir « identifié une vulnérabilité affectant DJI Home lors d’un examen interne fin janvier et y avoir remédié immédiatement », sans action requise de la part des utilisateurs.
« Nous prenons au sérieux les signalements de la communauté sécuritaire et nous les examinons rapidement, a affirmé l’entreprise. Nous travaillons à renforcer davantage le mécanisme de vérification par un code PIN et nous examinons les autres affirmations du chercheur ». Elle assure, aussi, utiliser un « chiffrement conforme aux standards de l’industrie » et des systèmes « protégés par des dispositifs de sécurité à plusieurs niveaux ».
