DJI Romo : Un moddeur utilise une manette PS5 pour piloter un aspirateur robot et accéder à 7 000 caméras robotisées

Le DJI Romo est le tout premier aspirateur robot du célèbre fabricant de drones. Avec son design transparent, le robot se démarque de ses concurrents, mais la protection contre les cyberattaques n'a apparemment pas été une priorité lors de son développement. Comme le rapporte The Verge un client a accidentellement piraté environ 7 000 DJI Romo dans le monde.

À l'origine, Sammy Azdoufal voulait simplement contrôler son aspirateur robot avec une manette PlayStation pour s'amuser. L'application de télécommande personnalisée était censée contrôler le robot via les serveurs de DJI. Mais au lieu de contrôler uniquement son propre DJI Romo, le serveur a permis au développeur d'accéder à l'ensemble des quelque 7 000 DJI Romo actifs à ce moment-là. Plus inquiétant encore, le développeur pouvait non seulement contrôler les robots, mais aussi accéder à leurs microphones et à leurs haut-parleurs, ce qui lui donnait pratiquement un accès en direct à des milliers de foyers.

Grâce à l'adresse IP, il était possible de déterminer l'emplacement approximatif de chaque robot, et les robots pouvaient même générer des plans des pièces. Le programmeur a déclaré qu'il n'avait pas eu besoin d'enfreindre des règles ou de contourner des restrictions de sécurité pour obtenir ce type d'accès. Au contraire, les serveurs de DJI acceptaient le jeton d'un seul DJI Romo comme authentification pour accéder aux données de toutes les unités DJI Romo. DJI a corrigé cette importante faille de sécurité le mercredi 11 février. Néanmoins, cet incident illustre la quantité de données personnelles qu'un appareil domestique intelligent tel qu'un aspirateur robot peut collecter, et la gravité de ce type de faille si elle est exploitée par un pirate.