DJI va payer 30 000 dollars au bidouilleur qui a piraté 7 000 aspirateurs robots

Vous vous souvenez de Sammy Azdoufal, ce Français qui avait pris le contrôle de 7 000 aspirateurs DJI Romo dans 24 pays en voulant piloter le sien avec une manette PS5 ? Caméras, micros et plans des maisons, tout était accessible. DJI a fini par le récompenser avec 30 000 dollars.

30 000 dollars pour une seule faille

DJI va donc verser 30 000 dollars à Azdoufal pour une seule de ses découvertes, sans préciser laquelle. Le fabricant confirme avoir récompensé un chercheur en sécurité, mais refuse pour le moment de le nommer publiquement. C'est un changement de ton par rapport à 2017 : à l'époque, DJI avait proposé la même somme au chercheur Kevin Finisterre pour une faille dans ses drones, avant de lui envoyer un contrat jugé impossible à signer par ses avocats, puis de le menacer via la loi américaine sur la fraude informatique. Finisterre avait préféré renoncer à l'argent et publier toute l'histoire. Cette fois ça s'est visiblement mieux passé.

Des correctifs, mais pas pour tout

Côté technique, DJI assure avoir corrigé la faille qui permettait de regarder le flux vidéo d'un Romo sans code PIN. La porte-parole Daisy Kong confirme que ce problème a été réglé fin février. Mais il reste une autre vulnérabilité, suffisamment grave pour que The Verge ait refusé de la décrire dans son article original. DJI reconnaît travailler dessus et annonce une mise à jour complète du système dans un délai d'un mois.

DJI joue les bons élèves

Le fabricant a aussi publié un billet de blog sur le renforcement de la sécurité du Romo, où il affirme avoir découvert le problème initial lui-même, tout en créditant deux chercheurs en sécurité indépendants pour avoir trouvé le même souci. Le billet laisse entendre que tout est réglé, ce qui ne colle pas tout à fait avec le mois de délai annoncé pour les correctifs restants. DJI met aussi en avant les certifications ETSI, EU et UL de son aspirateur.