Alors qu’il cherchait simplement à piloter son nouvel aspirateur robot avec une manette de PlayStation 5, un programmeur français a accidentellement mis le doigt sur une faille de sécurité béante.
Résultat ? Un accès direct aux caméras, micros et plans de milliers de logements à travers le monde. Retour sur un incident qui relance le débat sur la sécurité des objets connectés.
L’histoire prête à sourire, mais ses implications pour la vie privée font froid dans le dos. Sammy Azdoufal, un ingénieur logiciel et spécialiste en cybersécurité français basé à Barcelone, s’est lancé dans une expérience de geek plutôt commune : utiliser une manette de PS5 pour diriger manuellement son aspirateur robot haut de gamme, le récent DJI Romo.
En s’aidant de l’assistant de codage IA Claude Code pour analyser la façon dont l’application communique avec l’appareil, il est parvenu à extraire son propre jeton d’authentification (token). Mais quelques lignes de code plus tard, l’ingénieur de 32 ans a eu une sacrée surprise : au lieu de se limiter à son propre aspirateur, ce « passe-partout » numérique lui a donné accès aux données de près de 7 000 aspirateurs robots DJI répartis dans 24 pays.
Caméras, micros et plans 2D : L’intimité de milliers de foyers exposée
L’accès obtenu par le Français dépassait de loin la simple lecture du niveau de batterie. Étonné et avouant s’être senti « un peu effrayé », Sammy Azdoufal s’est rendu compte qu’il pouvait :
- Consulter les plans 2D détaillés des domiciles (générés par le robot).
- Connaître la localisation approximative (via l’adresse IP) de chaque appareil.
- Accéder au flux vidéo en direct de la caméra de navigation.
- Écouter ce qu’il se passait via le microphone intégré.
Pris de panique, et refusant d’exploiter cette mine d’or pour d’éventuels hackers, il a immédiatement contacté le fabricant chinois, célèbre pour ses drones civils. Face à l’absence de réponse rapide, il s’est tourné vers le média américain The Verge. En utilisant le numéro de série d’un aspirateur testé par un journaliste de la rédaction, l’ingénieur a prouvé la faille en décrivant avec précision le nettoyage en cours et en générant la carte exacte du logement du testeur, situé à des milliers de kilomètres.
Comment une telle faille technique a-t-elle pu exister ?
Pour les passionnés de sécurité informatique, l’explication technique est édifiante. Il ne s’agissait pas d’une cyberattaque complexe ou d’un piratage par « force brute », mais d’une vulnérabilité d’architecture Cloud.
Le système de messagerie (broker MQTT) utilisé par DJI pour faire communiquer ses serveurs et ses robots manquait de contrôles d’accès stricts pour séparer les utilisateurs. Une fois authentifié avec un jeton valide, Sammy Azdoufal pouvait voir le trafic des autres appareils. En d’autres termes, le chiffrement de DJI protégeait bien le transport des données sur le réseau, mais ne cloisonnait pas correctement les informations une fois arrivées sur les serveurs de l’entreprise.
La réaction de DJI et les leçons à en tirer
Alerté par la presse fin janvier, DJI a rapidement réagi. Le fabricant a indiqué avoir « identifié une vulnérabilité affectant DJI Home lors d’un examen interne » et l’avoir corrigée via deux mises à jour automatiques déployées début février 2026, sans aucune action requise de la part des utilisateurs. L’entreprise assure utiliser un chiffrement conforme aux standards de l’industrie et promet de renforcer son système, notamment par un code PIN obligatoire pour les caméras.
Cependant, cet incident met en lumière une réalité inquiétante de la domotique. L’utilisation croissante de caméras sur les aspirateurs — souvent vendues pour éviter les obstacles comme les câbles — transforme ces aides ménagères en de potentiels espions sur roues si les serveurs ne sont pas blindés.
Le conseil sécurité : À l’image de la femme de Sammy Azdoufal qui a immédiatement placé un adhésif sur la caméra de leur aspirateur après cette découverte, n’hésitez pas à occulter l’objectif de vos appareils connectés lorsqu’ils ne sont pas utilisés. Gardez également en tête que de nombreux modèles dotés de capteurs LiDAR (lasers) naviguent parfaitement sans avoir besoin d’une caméra optique.
Conclusion
L’affaire de l’aspirateur DJI Romo n’est finalement qu’un rappel de plus des défis posés par l’Internet des Objets. Si l’innovation technologique et l’IA nous simplifient le quotidien, elles élargissent aussi considérablement la surface d’attaque potentielle pour les cybercriminels (ou les simples bidouilleurs curieux).
Avant d’accueillir un nouvel appareil connecté dans votre foyer, surtout s’il est équipé de capteurs ultra-sensibles comme des caméras ou des micros, il est crucial de s’interroger sur la réputation du fabricant et sa politique de gestion des données. En attendant des normes de sécurité internationales plus contraignantes pour la domotique, les bons réflexes restent de mise :
- Maintenez vos appareils à jour (les patchs de sécurité corrigent souvent ce type de failles invisibles).
- Sécurisez votre réseau Wi-Fi domestique avec un mot de passe robuste.
- Désactivez les fonctionnalités (caméra, micro, partage cloud) dont vous n’avez pas une réelle utilité.
En fin de compte, n’oubliez jamais qu’un simple bout de ruban adhésif ou un cache-caméra physique reste parfois le pare-feu le plus infaillible de la maison.
