Il accède par erreur à 7000 logements: «Parfois mon cerveau est bizarre»
Le programmeur français Sammy Azdoufal voulait trouver une solution pour manoeuvrer son aspirateur robot avec une manette PlayStation. Quelques lignes de code plus tard, il avait eu accès malgré lui à quelque 7000 appareils à l'insu de leurs propriétaires.
Son témoignage illustre les risques potentiels pour la sécurité que présentent les objets domestiques connectés, à la popularité croissante.
Des robots chinois
Le groupe chinois DJI, qui fabrique ces aspirateurs de la série «Romo», assure avoir corrigé à présent la «vulnérabilité» détectée dans son logiciel. Il y a une appli liée à l'aspirateur», explique le programmeur, qui vit à Barcelone, joint par l'AFP cette semaine:
Après avoir connecté une manette de jeu, il s'est dit que l'aspirateur pourrait aussi émettre un son plaintif quand la batterie est faible. L'homme de 32 ans plaisante:
En bidouillant encore pour trouver un indicateur de l'état de la batterie, il a été étonné et «un peu effrayé» d'accéder aux données de milliers d'autres aspirateurs. «Vous pouvez avoir un plan complet de toutes les pièces, vous pouvez avoir accès à la caméra, au micro», et obtenir une localisation approximative de chaque appareil, décrit-il.
Il indique avoir écrit, pris de panique, au fabricant pour l'avertir de cette faille apparente de sécurité. Le programmeur, ancien spécialiste de cybersécurité, explique que sa femme a depuis recouvert la caméra de leur aspirateur, par précaution.
Il obtient la cartographie des maisons
Faute de réponse immédiate de l'entreprise, Sammy Azdoufal a contacté le média spécialisé The Verge, qui lui a fourni le numéro de série à 14 chiffres d’un aspirateur DJI Romo récemment testé par un membre de l'équipe.
The Verge a confirmé que le Français avait pu obtenir un plan précis du logement de son journaliste et observer quand le robot était en cours d'utilisation.
Il n'a pas pu toutefois gagner le contrôle de l'aspirateur, ni voir à travers sa caméra ou écouter avec son micro, a précisé le média, ajoutant que DJI avait restreint l'accès à ces fonctions après avoir été alerté.
D'où sortent ces robots?
DJI, fabricant de drones et autres appareils high-tech, basé à Shenzhen (sud), vend ses aspirateurs intelligents Romo haut de gamme jusqu'à plus de 1200 euros. Interrogé par l'AFP, le fabricant a indiqué avoir «identifié une vulnérabilité affectant DJI Home lors d’un examen interne fin janvier et y avoir remédié immédiatement».
Le problème a été résolu par deux mises à jour début février «sans aucune action requise de la part des utilisateurs», a précisé l’entreprise qui poursuit:
«Nous prenons au sérieux les signalements de la communauté sécuritaire et nous les examinons rapidement. Nous travaillons à renforcer davantage le mécanisme de vérification par un code PIN et nous examinons les autres affirmations du chercheur», a-t-elle indiqué, assurant utiliser un «chiffrement conforme aux standards de l'industrie» et des systèmes «protégés par des dispositifs de sécurité à plusieurs niveaux».