Quand les appareils domestiques connectés à Internet sèment la panique
Les aspirateurs robots d'Ecovacs sont apparemment assez faciles à pirater. La société chinoise a une longue histoire de failles de sécurité qui permettent à des acteurs malveillants de faire ce qu'elles veulent avec ces petits aspirateurs, comme d'espionner leurs propriétaires avec leur caméra embarquée. Ecovacs a été piraté à nouveau dans plusieurs États américains le mois dernier et l'acteur de la menace n'a pas hésité à troubler la tranquillité des propriétaires.
L'attaquant a pris le contrôle physique des aspirateurs et a utilisé leurs fonctions audio internes pour proférer des insultes racistes envers les personnes se trouvant dans les maisons qui abritent les dispositifs piratés. Les propriétaires ont d'abord entendu des voix brouillées provenant de leurs appareils, puis ont remarqué que la caméra et les fonctions motrices de l'aspirateur étaient activées via l'application de l'appareil. Ce qu'ils ont décrit comme un cauchemar.
Tous les appareils concernés ont été fabriqués par Ecovacs, en particulier le modèle Deebot X2. Le piratage a été confirmé à un client après qu'il a déposé une plainte auprès du service clientèle d'Ecovacs. Il s'agit de la victime Daniel Swenson, un avocat basé dans le Minnesota. Il regardait la télévision lorsqu'il a entendu des bruits bizarres en provenance de son aspirateur. Il a changé le mot de passe et l'a redémarré. Toutefois, les bruits bizarres ont recommencé.
Puis l'aspirateur s'est mis à lui adresser des insultes racistes. De nombreux incidents similaires ont été signalés aux États-Unis à la même époque. L'un d'eux s'est produit à Los Angeles, où un aspirateur a poursuivi un chien tout en prononçant des propos haineux. Un autre s'est produit à El Paso, où l'aspirateur a proféré des insultes jusqu'à ce que son propriétaire l'éteigne. Les victimes ignorent si l'attaquant les a espionnés dans des endroits comme la salle de bain.
Les attaques sont apparemment assez faciles à réaliser grâce à plusieurs failles de sécurité connues dans les Ecovacs, comme un mauvais connecteur Bluetooth et un système PIN défectueux qui est censé protéger les flux vidéo et l'accès à distance, mais qui, en réalité, ne fait rien de tout cela. « Nos plus jeunes enfants prennent des douches à l'intérieur. J'ai pensé qu'il pourrait attraper mes enfants ou même moi, vous savez, sans être habillé », a déclaré Daniel Swenson.
Les appareils IdO fabriqués par Ecovacs sont truffés de failles de sécurité
Les appareils de l'Internet des objets (IdO) inquiètent depuis longtemps les experts en cybersécurité et les utilisateurs en raison des nombreuses vulnérabilités dont ils souffrent. En août 2024, des chercheurs en cybersécurité ont découvert de multiples vulnérabilités dans les produits Ecovacs (y compris des tondeuses à gazon) pouvant permettre à un acteur de la menace de prendre le contrôle des microphones et des caméras via des connexions mobiles Bluetooth.
Pour le dire simplement, les chercheurs ont conclu que « la sécurité de l'entreprise était vraiment, vraiment, vraiment, vraiment mauvaise ». Des éléments de conception destinés à protéger les utilisateurs, tels qu'une alerte sonore indiquant que la caméra de l'aspirateur est activée, peuvent être facilement désactivés. Selon certains rapports, la société chinoise a une approche laxiste en matière de cybersécurité et certains critiques la soupçonnent de le faire exprès.
Deux chercheurs en cybersécurité ont publié en début d'année un rapport sur Ecovacs détaillant les multiples failles de sécurité de la marque. Il semble que l'entreprise n'ait pas encore résolu toutes ses failles critiques et qu'elle ne croie pas non plus que ses aspirateurs puissent être piratés, du moins selon la victime Daniel Swenson, qui affirme que le service clientèle d'Ecovacs ne l'a pas cru lorsqu'il a déclaré que son aspirateur prononçait le mot « nègre » à son égard.
La plainte de Daniel Swenson a déclenché une enquête qui a révélé que l'acteur de la menace avait probablement contourné les mesures de sécurité d'Ecovacs pour réquisitionner les caméras, les microphones et les commandes de locomotion des aspirateurs. Le maillon faible était un code PIN à quatre chiffres, qui ne pouvait être vérifié que par l'application, et non par le serveur ou le robot, ce qui permettait à un initié de contourner cette mesure de protection.
Un porte-parole d'Ecovacs a déclaré que la faille a été corrigée depuis et s'est engagé à mettre à jour le Deebot X2. Néanmoins, la faille illustre la facilité avec laquelle un attaquant peut obtenir des données dans notre société saturée de technologie. En 2022, il a été découvert que les serveurs qui contrôlent les robots travaillant dans les hôpitaux présentaient d'importantes lacunes de sécurité, ce qui les rendait susceptibles d'être exploités par des cybercriminels.
Même les gadgets destinés à assurer notre sécurité ne sont pas nécessairement sûrs. En 2019, un homme de l'Alabama a poursuivi la société Ring, spécialisée dans les caméras et sonnettes de sécurité, après avoir affirmé qu'un individu avait détourné son appareil et s'était moqué de ses enfants. Ring est la propriété d'Amazon. On ne sait pas combien d'aspirateurs ont été touchés par ce piratage potentiellement à grande échelle ni qui sont les auteurs de l'attaque.
Cependant, Daniel Swenson soupçonne ses harceleurs d'être des adolescents en train de faire une farce, à en juger par la voix du robot. Les chercheurs ont indiqué qu'une fois qu'un robot Ecovacs est compromis, si l'appareil se trouve à portée d'autres robots Ecovacs, ces derniers peuvent également être piratés.
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la sécurité des aspirateurs robots et des autres appareils d'Ecovacs ?
Que pensez-vous des risques liés à l'Internet des objets ? Tous les appareils sont-ils bons à connecter à Internet ?
Voir aussi
Une simple friteuse à air pourrait transmettre vos données personnelles à des entreprises étrangères, un rapport révèle que de nombreux appareils connectés collectent des quantités « excessives » de données
Les aspirateurs robots chinois Deebot peu sûrs collectent des photos et des enregistrements vocaux pour entraîner leur IA, les données comprennent également la cartographie 2D ou 3D de votre maison
Des robots autonomes utilisés dans des centaines d'hôpitaux présentent des risques de piratage à distance, les failles ne nécessitent qu'un "très faible niveau de compétences pour être exploitées"