À l’origine, c’était un bricolage de développeur, presque innocent : piloter un robot aspirateur DJI Romo à la manette PlayStation. Sauf qu’en explorant l’infrastructure cloud, le chercheur en sécurité Sammy Azdoufal est tombé sur bien plus qu’un simple bug : une faiblesse côté serveur qui lui aurait permis d’accéder à des milliers d’appareils tiers, avec des données parmi les plus sensibles que puisse produire un objet connecté — plans détaillés du logement, localisation, métadonnées, et dans certains cas accès au flux vidéo.
DJI Romo : plans, IP, statut… et présence des occupants
Selon les informations rapportées, la vulnérabilité aurait permis de « cataloguer » rapidement environ 7 000 robots actifs dans 24 pays, en remontant des métadonnées, comme les numéros de série, adresses IP, état de nettoyage et autres informations de télémétrie.
Le point le plus inquiétant, ce sont les cartes et plans générés par le robot : ils ne décrivent pas seulement une surface, mais une topographie intime du domicile. À l’échelle d’un attaquant, ces données peuvent servir à profiler des habitudes (présence/absence via horaires de nettoyage), voire à cibler des logements.
Techniquement, l’affaire ressemble à un cas d’école : l’authentification existait, mais l’autorisation (qui a le droit d’accéder à quoi) aurait été défaillante.
Azdoufal aurait extrait le token d’authentification de son propre robot pour analyser les échanges, puis constaté que les serveurs ne vérifiaient pas suffisamment que ce token ne donnait accès qu’à son appareil. Résultat : possibilité de s’abonner à des canaux MQTT très larges (wildcards) et de recevoir des messages provenant d’autres robots.
DJI aurait reconnu un « problème de validation des permissions backend » : la communication pouvait être chiffrée en TLS, mais sans liste de contrôle d’accès (ACL) côté serveur, un client authentifié pouvait lire des données qui ne lui appartenaient pas.
La vérification la plus troublante : le flux vidéo sans la PIN
Toujours selon le récit publié, un test aurait montré qu’il était possible d’accéder au statut d’un appareil en ne fournissant qu’un numéro de série de 14 chiffres. Plus grave : l’accès au flux caméra aurait parfois fonctionné sans saisir la PIN censée verrouiller la vidéo, ce qui annule la principale barrière « grand public » contre l’espionnage.
DJI indique avoir corrigé le problème via des mises à jour côté serveur (donc sans firmware à installer), avec des correctifs déployés les 8 et 10 février. Le constructeur souligne aussi que les données des utilisateurs internationaux seraient stockées sur des serveurs AWS aux États-Unis.
Même si la faille est corrigée, l’épisode laisse une question lourde : dans le Smart Home, les objets « premium » ne sont pas forcément ceux qui ont la meilleure discipline de sécurité. Et un aspirateur doté de capteurs, de cartographie et parfois d’une caméra, c’est déjà, par nature, un appareil ultra-intrusif.
Sans céder à la panique, vérifiez les réglages de confidentialité dans l’app DJI (accès caméra, PIN, comptes liés, partage), isolez l’objet connecté sur un réseau invité/Wi-Fi séparé si possible, et surveillez les notes de version et annonces de sécurité DJI (même si ici le patch est serveur). Enfin, si vous n’utilisez pas certaines fonctions (caméra/accès distant), désactivez-les : le meilleur risque est celui qu’on supprime.
