Un développeur a voulu contrôler son aspirateur robot DJI Romo avec une manette de PS5, juste pour le plaisir. En bidouillant l'application avec l'aide d'une IA, il a découvert une faille qui lui donnait accès aux caméras, aux micros et aux plans d'intérieur de 7 000 aspirateurs répartis dans 24 pays. DJI a depuis corrigé le problème principal.
Une manette de PS5 et un aspirateur
L'histoire est assez dingue. Sammy Azdoufal, un développeur, voulait simplement piloter son nouvel aspirateur robot DJI Romo avec une manette de PS5, juste pour la blague. Pour ça, il a utilisé Claude Code pour décompiler l'application DJI et comprendre comment son aspirateur communiquait avec les serveurs. Il a extrait son propre jeton d'authentification, construit un petit programme maison, et l'a connecté à l'infrastructure DJI. Sauf que voilà : au lieu de ne voir que son aspirateur, il en a vu environ 7 000 apparaître sur son écran. Des aspirateurs répartis dans 24 pays différents, tous accessibles.
7 000 aspirateurs, caméras et micros ouverts
Le problème vient du protocole MQTT utilisé par DJI pour faire communiquer ses appareils avec ses serveurs. Une fois authentifié avec un seul jeton, le serveur ne vérifiait pas si les données demandées appartenaient bien à l'utilisateur. Du coup, Azdoufal pouvait accéder aux flux caméra en direct, écouter via les micros embarqués, et récupérer les plans d'intérieur générés par la cartographie des robots. Pour prouver l'ampleur de la faille, il a contacté un journaliste de The Verge, retrouvé son aspirateur grâce au numéro de série à 14 chiffres, confirmé qu'il nettoyait le salon avec 80 % de batterie, et produit un plan précis de son appartement. Le tout depuis un autre pays.
DJI corrige, mais pas tout
DJI a réagi en déployant deux correctifs côté serveur, les 8 et 10 février, sans que les utilisateurs aient quoi que ce soit à faire. La faille principale est fermée. Mais Azdoufal a prévenu que d'autres problèmes persistent, dont la possibilité de contourner le code PIN qui protège l'accès à la caméra. DJI n'a pas commenté ce point.
On en dit quoi ?
Un aspirateur robot qui permet d'espionner des maisons parce qu'un développeur voulait jouer un peu avec une manette, c'est quand même ballot. Quand on met une caméra et un micro dans un appareil électronique pensé pour se promener tous les jours dans toutes les pièces d'une maison personnelle, il faut vraiment blinder les accès. La mise à jour automatique est arrivée rapidement, c'est déjà ça.
