Principaux renseignements

• Un ingénieur logiciel a accédé par erreur aux caméras et aux micros de près de sept mille aspirateurs robots DJI dans le monde entier.
• La faille provient d’une erreur sur les serveurs de DJI, suite à laquelle un utilisateur individuel a été reconnu comme le propriétaire de milliers d’autres appareils.
• Bien que la faille spécifique ait été colmatée, les experts mettent en garde contre les risques croissants pour la vie privée à mesure que des robots plus complexes pénètrent dans nos foyers.

Une simple tentative de l’ingénieur logiciel Sammy Azdoufal pour piloter son nouvel aspirateur robot DJI avec une manette de jeu vidéo a dégénéré involontairement en une fuite massive de données privées. En raison d’une faille de sécurité dans le système central, il a accédé aux images de caméras en direct et aux micros de près de sept mille autres appareils répartis dans vingt-quatre pays.

Accès à des milliers de foyers

Azdoufal a découvert la faille alors qu’il développait sa propre application pour commander son robot à distance. En s’appuyant sur un outil de codage par intelligence artificielle, il a tenté d’analyser la communication entre l’appareil et les serveurs cloud de DJI. Cette démarche a provoqué une surprise de taille. Les identifiants lui ouvrant l’accès à son propre aspirateur lui ont aussi confié le contrôle d’une petite armée de robots connectés appartenant à d’autres propriétaires. Leurs assistants domestiques se sont alors transformés en outils d’espionnage actifs à l’insu de ces derniers.

Par ailleurs, Azdoufal pouvait non seulement activer les caméras, mais aussi consulter les plans détaillés des habitations et localiser globalement les robots via leurs adresses IP. Le géant technologique chinois DJI, surtout connu pour ses drones, commercialise désormais le DJI Romo sur divers marchés internationaux au prix d’environ deux mille dollars. Cet incident corrobore les avertissements de longue date des experts en cybersécurité sur le fait que les appareils domestiques intelligents constituent des cibles attrayantes pour les personnes malveillantes.

Risques des appareils domestiques intelligents

Dans une réaction officielle, DJI annonce avoir corrigé la vulnérabilité via des mises à jour automatiques déployées en février. Par conséquent, le fabricant garantit qu’aucune action n’incombe aux utilisateurs. Toutefois, l’inquiétude grandit face au coût de la vie privée dans la maison intelligente moderne. Les incidents passés chez Ring et Google alimentent déjà le débat sur le contrôle réel des consommateurs sur leurs données sensibles dès leur stockage sur des serveurs externes.

En outre, le risque devient plus complexe à mesure que les robots se perfectionnent. En effet, des entreprises comme Tesla et Figure travaillent sur des robots humanoïdes qui nécessitent un accès encore plus intime à notre espace de vie pour fonctionner. Pour un pirate ou un harceleur, ces appareils représentent ainsi une mine d’or potentielle d’informations. En définitive, le cas d’Azdoufal démontre que de sérieux risques de sécurité subsistent encore pour ces équipements domestiques connectés. (fc)

Suivez également Business AM sur Google Actualités

Si vous souhaitez accéder à tous les articles, abonnez-vous ici!