Un homme prend accidentellement le contrôle de 7 000 aspirateurs robots, révélant une faille de sécurité majeure

Alors qu'il souhaitait piloter son DJI Romo avec une manette de jeu en utilisant Claude Code

À l'aide d'un outil d'IA, un propriétaire a accidentellement contrôlé des milliers d'aspirateurs robots. Un propriétaire d'aspirateur DJI Romo voulait connecter son appareil à une manette PS5. Il a fini par révéler une énorme faille de sécurité. Bien que DJI ait déclaré que le problème avait été « résolu », cet épisode dramatique souligne les avertissements des experts en cybersécurité qui alertent depuis longtemps sur le fait que les robots connectés à Internet et autres appareils domestiques intelligents constituent des cibles attrayantes pour les pirates informatiques.

Les maisons deviennent de plus en plus intelligentes. La prochaine fois que vous achèterez un grille-pain, un réfrigérateur ou un lave-vaisselle, il vous faudra peut-être vous connecter au réseau WiFi de votre domicile et télécharger une application sur votre téléphone. Mais cette interconnectivité comporte des risques, explique David Choffnes, professeur agrégé d'informatique à la Northeastern University.

Récemment, un incident vient confirmer cette conclusion. À l'aide d'un outil d'IA, un propriétaire a accidentellement contrôlé des milliers d'aspirateurs robots. Un propriétaire d'aspirateur DJI Romo voulait connecter son appareil à une manette PS5. Il a fini par révéler une énorme faille de sécurité. SZ DJI Technology Co., Ltd. ou Shenzhen Da-Jiang Innovations Sciences and Technologies Ltd. ou DJI, est une entreprise technologique chinoise qui fabrique des véhicules aériens sans pilote (drones) à usage commercial pour la photographie et la vidéographie aériennes. Elle conçoit et fabrique également des systèmes de caméras, des stabilisateurs à cardan, des systèmes de propulsion, des logiciels d'entreprise, des équipements agricoles aériens et des systèmes de contrôle de vol.

Sammy Azdoufal a utilisé Claude Code pour créer une application permettant de connecter son tout nouvel aspirateur DJI Romo à une manette PS5. C'est alors qu'il a remarqué quelque chose d'étrange. L'application ne contrôlait pas seulement son aspirateur. Elle en contrôlait des milliers. Par accident, Azdoufal avait pris le contrôle d'environ 7 000 aspirateurs robots DJI à travers le monde, chacun répondant au code qu'il avait l'intention d'utiliser uniquement pour son propre appareil. « J'ai découvert que mon appareil n'était qu'un parmi une multitude d'autres », a-t-il déclaré.


Il n'avait pas piraté les serveurs de DJI, a-t-il précisé. Il avait simplement extrait le jeton privé de son propre Romo, une clé destinée à prouver que vous êtes autorisé à accéder à votre propre appareil, mais les serveurs de DJI lui ont également renvoyé les données de milliers d'autres clients. « Je n'ai enfreint aucune règle. Je n'ai pas contourné, piraté, utilisé la force brute, rien de tout cela », a-t-il déclaré.

Avec seulement un numéro à 14 chiffres, Azdoufal pouvait contrôler à distance les robots, visionner les images en direct des caméras, écouter grâce aux microphones, vérifier le niveau des batteries et générer une carte 2D complète de chaque maison. À l'aide de l'adresse IP, il pouvait également estimer l'emplacement de l'appareil, a rapporté The Verge. Il a même accédé aux serveurs de préproduction de DJI ainsi qu'aux systèmes en direct aux États-Unis, en Chine et dans l'Union européenne, bien qu'il ait déclaré que son outil effaçait les données à chaque fois qu'il se fermait.

Il n'avait pas l'intention de révéler cette faille de sécurité, mais il était déterminé à la faire corriger. « Les gens participent au programme de prime aux bogues pour l'argent. Je m'en fiche. Je veux juste que cela soit corrigé », a-t-il déclaré. « Je pense que le fait de suivre les règles jusqu'au bout aurait probablement prolongé cette faille pendant encore longtemps. » DJI a déclaré avoir résolu le problème avant la publication de l'article, dans un communiqué adressé à The Verge : « DJI peut confirmer que le problème a été résolu la semaine dernière et que des mesures correctives étaient déjà en cours avant la divulgation publique. » Par la suite, Azdoufal n'a plus pu voir ni entendre à travers d'autres appareils.

Mais environ une demi-heure après l'envoi de la déclaration de DJI, il a déclaré qu'il pouvait toujours contrôler à distance des milliers d'aspirateurs. Il a affirmé que d'autres failles subsistaient, notamment la possibilité pour les utilisateurs de visionner leur propre flux vidéo DJI Romo sans le code de sécurité requis.


Tomber sur une faille de sécurité massive

Alors qu'il développait sa propre application de contrôle à distance, Sammy Azdoufal aurait utilisé un assistant de codage IA pour aider à rétroconcevoir la manière dont le robot communiquait avec les serveurs cloud distants de DJI. Mais il s'est rapidement rendu compte que les identifiants qui lui permettaient de voir et de contrôler son propre appareil lui donnaient également accès aux flux vidéo en direct, au son du microphone, aux cartes et aux données d'état de près de 7 000 autres aspirateurs dans 24 pays. Ce bug de sécurité a exposé toute une armée de robots connectés à Internet qui, entre de mauvaises...