Un développeur voulait simplement piloter son aspirateur robot DJI Romo avec une manette de PS5. Une expérimentation geek, presque anodine. Sauf qu’en analysant les communications entre son appareil et les serveurs de DJI, il est tombé sur une faille massive. En quelques minutes, près de 7 000 robots répartis dans 24 pays sont devenus visibles depuis son ordinateur !
La faille a depuis été corrigée, mais l’épisode soulève des questions sérieuses sur l’architecture cloud des objets connectés et notamment des aspirateurs robots… On fait le point.
Piratage des robots Romo : Ce qui s’est réellement passé
Tout part d’un simple test. Pour connecter sa manette, le développeur a cherché à comprendre comment son DJI Romo communiquait avec les serveurs de la marque. Comme la plupart des objets connectés, le robot envoie en permanence des informations vers le cloud : état de batterie, progression du nettoyage, cartes du logement.
En récupérant le code d’identification de son propre appareil, il a créé un outil capable d’interroger les serveurs. Le problème est apparu au moment de la connexion : au lieu de ne voir que son aspirateur, des milliers d’autres robots sont apparus.
En quelques minutes, près de 7 000 appareils répartis dans 24 pays étaient visibles, avec leurs données de fonctionnement. Dans certains cas, l’accès concernait aussi les plans 2D des logements, voire les flux vidéo et audio intégrés aux robots.
Il ne s’agissait pas d’un piratage classique. L’accès s’est fait avec un identifiant valide. C’est le système de gestion des droits côté serveur qui ne limitait pas correctement l’accès aux seules données du propriétaire.
Pourquoi cette faille est sérieuse et grave
Pour bien comprendre le problème, il ne s’agit pas un simple bug d’affichage ou un défaut mineur. Un robot aspirateur comme le DJI Romo P que nous avons testé embarque une caméra, un microphone et un système de cartographie capable de reconstituer précisément l’intérieur d’un logement. Il circule dans toutes les pièces et transmet régulièrement ces données au cloud.
Dans ce contexte, une mauvaise gestion des permissions côté serveur change tout. Les échanges peuvent être chiffrés, mais si un utilisateur authentifié peut accéder à des flux qui ne sont pas les siens, le problème devient structurel. Le chiffrement protège le transport des données, pas leur cloisonnement une fois sur l’infrastructure.
Le risque est donc réel sur le plan de la vie privée. Plans détaillés, images en direct, données d’activité… Ce type d’information, agrégée à grande échelle, représente une surface d’exposition importante. Et le fait que l’accès ait été possible sans technique d’intrusion avancée souligne surtout un défaut d’architecture de base.
DJI n’est malheureusement pas un cas isolé
Cet épisode ne constitue pas un cas isolé dans l’univers des robots aspirateurs connectés. Nous évoquions déjà sur Maniaques une faille de sécurité touchant des aspirateurs robots, capable d’exposer des données sensibles liées à l’utilisation et à la cartographie du logement. Dans un autre dossier, des robots avaient même été détournés pour insulter leurs propriétaires après une prise de contrôle à distance.
La réaction de DJI suite à ce piratage
DJI affirme avoir identifié la vulnérabilité fin janvier et déployé deux correctifs successifs les 8 et 10 février. La faille concernait un problème de validation des permissions côté serveur dans la gestion des échanges MQTT. En clair, les droits d’accès n’étaient pas correctement cloisonnés.
Le constructeur précise que les communications étaient bien chiffrées via TLS et que la correction a été appliquée directement côté infrastructure, sans action nécessaire pour les utilisateurs. Depuis, l’outil utilisé lors de la démonstration ne permettrait plus d’accéder aux robots.
DJI évoque un risque “théorique” et des cas d’exploitation extrêmement rares. Reste que l’épisode met en lumière un point clé : dans les objets connectés, la sécurité ne dépend pas uniquement du chiffrement, mais surtout de la rigueur des contrôles d’accès au niveau des serveurs.
En attendant, le plus simple reste parfois le plus efficace. Un petit bout de scotch noir sur la caméra quand le robot est à l’arrêt, et on le laisse dans une autre pièce que le salon. Juste au cas où 😁.
Entre la rédaction de news, le montage vidéo, l’animation de la communauté et parfois même les tests produits, Delphine aime toucher à tout et participer activement au développement de Maniaques.fr !