|
Il tente de relier son aspirateur à sa manette de jeu et découvre qu’il peut prendre le contrôle de milliers d’appareils... |
1
Un ingénieur a pu piloter son aspirateur DJI Romo avec sa manette PlayStation 5. © Teamjackson / iStock
Un ingénieur, installé en Espagne, a révélé mardi 24 février une faille de sécurité majeure permettant de prendre le contrôle à distance de 7 000 aspirateurs de la marque chinoise DJI Romo à travers le monde. Au départ, il voulait seulement piloter son appareil avec sa manette PS5, mais il a pu accéder à distance aux caméras, micros et données d’utilisateurs dans 24 pays.
Au départ, il voulait seulement piloter son aspirateur DJI Romo avec sa manette PlayStation 5. L’ingénieur Sammy Azdoufal, installé en Espagne, a finalement eu la possibilité de contrôler 7 000 autres appareils DJI Romo à travers le monde, a-t-il expliqué au site américain The Verge .
Une démonstration impressionnante
Le témoignage de l’ingénieur a permis de mettre le doigt sur une importante faille de sécurité. Ce responsable de la stratégie sur l’intelligence artificielle (IA) dans une entreprise de gestion immobilière n’avait aucune intention malveillante. En voulant relier son aspirateur à sa manette PlayStation 5, il a découvert qu’il pouvait prendre le contrôle de 7 000 aspirateurs répartis dans 24 pays, indique The Guardian .
Mardi 24 février 2026, l’ingénieur a fait la démonstration de sa découverte à The Verge. À cette occasion, il a pu montrer qu’il pouvait activer les caméras et les micros des robots des différents appareils, contournant même les codes PIN de sécurité. Il a également pu générer en temps réel les plans 2D précis des appartements des utilisateurs. Il a poussé la démonstration jusqu’à inclure celui d’un journaliste du média américain. Et cela simplement à partir du numéro de série de l’aspirateur.
Des failles de sécurité similaires chez des concurrents
Sa manipulation lui a aussi permis d’accéder à des informations sur l’état des batteries, les numéros de série, les pièces nettoyées ou encore les obstacles rencontrés. Grâce aux adresses IP des robots, il pouvait aussi déterminer leur emplacement géographique approximatif. Les aspirateurs n’étaient pas les seuls appareils concernés. La faille touchait également les stations d’énergie DJI Power, portant le total à plus de 10 000 appareils accessibles.
Contrairement aux explications données par DJI, la faille ne venait pas d’un problème de chiffrement des informations, mais d’un défaut des permissions (ACL), souligne The Verge. Le site spécialisé rappelle que le cas de DJI n’est pas isolé. Des marques concurrentes comme Ecovacs, Dreame et Narwal ont également été mises en cause pour des failles similaires et ont subi des piratages. En 2024, des hackers ont pris le contrôle d’aspirateurs robots Ecovacs pour poursuivre des animaux de compagnie et hurler des insultes racistes.
