Sécurité en vrac : une faille donne accès aux aspirateurs robots DJI Romo

Un chercheur indépendant, Sammy Azdoufal, a découvert une faille de sécurité critique dans l’infrastructure cloud des aspirateurs robots DJI Romo. En tentant simplement de contrôler son propre appareil avec une manette de PS5, il s’est rendu compte qu’il pouvait accéder sans piratage aux données de milliers d’autres robots répartis dans le monde.

Accès massif aux données personnelles

À cause d’un mauvais contrôle des droits côté serveur, le système permettait, via un simple numéro de série, d’accéder à :

• l’état de la batterie,

• la localisation et l’activité du robot,

• les flux vidéo et audio en direct,

• les plans 2D détaillés des logements.

Au total, près de 6 700 aspirateurs dans 24 pays étaient concernés, et jusqu’à 10 000 appareils en incluant les stations de charge DJI Power.

Une faille liée au protocole MQTT

Le problème ne vient pas du chiffrement des données, mais de l’architecture interne : une fois authentifié avec son propre jeton, le serveur ne vérifiait pas que les données demandées appartenaient bien à l’utilisateur. Résultat : un accès quasi illimité aux appareils d’autrui, parfois même sans le code PIN de sécurité.

Un contexte très sensible pour DJI

Cette révélation tombe au plus mauvais moment pour DJI, déjà sous pression aux États-Unis pour des soupçons d’espionnage. Malgré les déclarations de la marque affirmant que la faille était corrigée, des tests ont montré qu’elle était encore active jusqu’à une mise à jour d’urgence déployée le 10 février.

Des inquiétudes persistantes

Si la faille principale semble désormais colmatée, le chercheur affirme que d’autres vulnérabilités subsistent, notamment autour de l’accès aux flux vidéo. De quoi relancer le débat sur la sécurité des objets connectés et la confiance accordée aux infrastructures cloud des fabricants.