Le Unitree Go2 est la nouvelle star incontestée de la robotique quadrupède. Avec son LiDAR 4D, son intelligence artificielle embarquée et son agilité spectaculaire, ce petit chien robot a de quoi séduire les passionnés de nouvelles technologies, les chercheurs et même les industriels.
Pourtant, derrière ses prouesses mécaniques impressionnantes se cache une réalité informatique nettement plus sombre : une faille de sécurité béante. Récemment, des chercheurs en cybersécurité ont mis en lumière plusieurs vulnérabilités critiques, dont une faille RCE (Remote Code Execution) permettant à un pirate de prendre le contrôle total du robot à distance.
Décryptage d’un piratage qui montre que la sécurité en robotique a encore un long chemin à parcourir.
Un bijou technologique… sans filet de sécurité
Le chien robot Unitree Go2 n’a plus rien d’un simple gadget. Capable de cartographier son environnement en 3D en temps réel, de vous suivre à la trace et d’interagir vocalement, il embarque une puissance de calcul impressionnante (100 TOPS) et un système d’exploitation complexe.
Malheureusement, si l’ingénierie physique et l’IA sont de haut vol, la sécurité des communications réseau semble avoir été dramatiquement négligée. Les experts en sécurité ont découvert que le système d’exploitation du robot était vulnérable à des attaques permettant d’obtenir un accès administrateur absolu (le fameux root shell), laissant ainsi la machine à la merci des hackers.
La Faille DDS (CVE-2026-27509) : Un accès Root sur un plateau d’argent
La vulnérabilité la plus critique, identifiée sous la référence CVE-2026-27509, réside dans l’utilisation par le robot du protocole DDS (Data Distribution Service). Ce standard d’échange de données est extrêmement populaire dans l’industrie de la robotique et de l’IoT.
Le Go2 s’appuie sur le système Eclipse CycloneDDS pour faire communiquer ses différents composants. Le problème majeur ? Unitree a déployé ce système sans la moindre authentification, ni autorisation, ni chiffrement.
Concrètement, qu’est-ce que cela signifie ? Tout pirate connecté au même réseau local (Wi-Fi) que le robot peut envoyer des requêtes au système. En ciblant un canal spécifique de communication et en utilisant un paramètre précis (api_id=1002), l’attaquant peut injecter et exécuter un script Python malveillant directement en mode « root » (super-utilisateur). En quelques secondes, le pirate obtient un accès complet aux commandes du robot.
À partir de là, c’est portes ouvertes :
- Espionnage : Accès en direct au flux des caméras et au micro.
- Vol de données : Récupération de la cartographie LiDAR de votre domicile ou de vos locaux d’entreprise.
- Prise de contrôle physique : Contrôle des moteurs pour déplacer le robot à votre insu.
L’Injection Android (CVE-2026-27510) : Le danger de la persistance
Comme si une porte dérobée réseau ne suffisait pas, une seconde faille majeure (CVE-2026-27510) a été découverte au niveau de l’application mobile de contrôle.
Dans ce scénario, si un attaquant accède à un téléphone Android utilisant l’application Unitree Go2, il peut manipuler la base de données locale (SQLite) de l’application. En modifiant les données, il est possible de lier un script malveillant à un bouton de la télécommande physique du robot (un « hotkey »).
Le plus inquiétant dans cette faille, c’est sa persistance. Le robot sauvegarde ces raccourcis dans un fichier système (hotkey_list.txt). Ainsi, même si vous redémarrez votre Unitree Go2 pour tenter de neutraliser le piratage, le code malveillant reste en sommeil et se réexécutera à la prochaine pression sur le bouton piégé !
Comment se protéger face à ces failles de sécurité ?
Les implications de ces vulnérabilités sont vastes. Un robot de 8 à 12 kg, capable de se déplacer à plus de 2 m/s, qui échappe à votre contrôle représente non seulement un risque pour la confidentialité de vos données (espionnage), mais aussi un véritable danger physique s’il est utilisé de manière malveillante.
Bien qu’Unitree ait commencé à déployer des correctifs (notamment le firmware V1.1.13 pour pallier les défauts de l’application mobile), l’absence de chiffrement natif sur le protocole DDS reste une faiblesse structurelle compliquée à corriger sans une refonte majeure de l’architecture logicielle.
Les bonnes pratiques pour sécuriser votre robot :
- Isolez votre robot sur le réseau : Ne le connectez jamais à un réseau Wi-Fi public ou partagé. Créez un réseau local dédié et hautement sécurisé (VLAN) uniquement pour lui.
- Mises à jour systématiques : Gardez l’œil ouvert sur les patchs correctifs et mettez à jour votre firmware dès qu’une nouvelle version est disponible via l’application officielle.
- Verrouillez vos appareils de contrôle : Protégez fermement l’accès à votre smartphone (biométrie, mot de passe fort) pour empêcher toute manipulation locale de la base de données de l’application.
Conclusion
La découverte de ces failles critiques (RCE) sur l’Unitree Go2 est une piqûre de rappel brutale pour l’industrie technologique. Elle illustre parfaitement un problème récurrent dans l’univers de l’IoT et de la robotique grand public : la course à l’innovation et aux fonctionnalités matérielles se fait trop souvent au détriment de la cybersécurité.
Vendre un bijou technologique bourré d’intelligence artificielle sans sécuriser ses protocoles de communication réseau, c’est un peu comme garer une voiture de luxe en laissant les clés sur le contact et les fenêtres grandes ouvertes.
À l’avenir, les fabricants de robots devront impérativement intégrer la sécurité dès la conception (Security by Design) s’ils veulent que la cohabitation entre l’homme et la machine reste une belle aventure scientifique.
