fermer
Maison connectée

DJI Romo : la marque verse 30 000 dollars au chercheur qui a hacké ses aspirateurs

Maison connectée par Yohann Poiron le DJI DJI Romo
DJI Romo : la marque verse 30 000 dollars au chercheur qui a hacké ses aspirateurs
DJI Romo : la marque verse 30 000 dollars au chercheur qui a hacké ses aspirateurs

Le récit avait tout du scénario improbable : un ingénieur, Sammy Azdoufal, voulait piloter son robot aspirateur DJI Romo avec une manette PlayStation. Il a fini par découvrir — sans le chercher — un « réseau » de milliers de Romo accessibles à distance, avec à la clé un risque évident de surveillance (flux vidéo, données de nettoyage, etc.).

Deux semaines plus tard, DJI change de posture : l’entreprise le paie. Et pas symboliquement.

Selon un e-mail partagé avec la presse, DJI versera 30 000 dollars pour une seule des découvertes d’Azdoufal.

DJI confirme avoir « récompensé » un chercheur (sans le nommer) et affirme avoir déjà corrigé la vulnérabilité liée au visionnage d’un flux vidéo sans PIN, patchée fin février.

Le point clé : DJI paie… mais garde le flou

Le montant est clair. Le reste beaucoup moins. DJI ne précise ni quelle faille est rémunérée ni comment le calcul a été établi, alors que l’affaire porte sur plusieurs vulnérabilités (dont une si sensible que certains médias avaient choisi de ne pas la décrire).

DJI dit travailler aussi sur ce « gros morceau », via une mise à niveau de l’ensemble du système, avec une implémentation complète annoncée « sous un mois ».

En parallèle, DJI a publié un article officiel très cadré : l’entreprise affirme avoir identifié le problème d’origine lors d’un audit interne fin janvier, et indique que deux chercheurs indépendants ont ensuite signalé la même vulnérabilité via son bug bounty, ce qui a « aidé » la remédiation. DJI va jusqu’à écrire que des mises à jour ont été déployées pour « résoudre entièrement » le problème, sans action utilisateur.

Le contraste est intéressant : côté blog, le message est « c’est réglé ». Côté déclaration à la presse, DJI reconnaît qu’une série d’updates est encore en cours, et qu’il faut du temps pour « upgrader » l’ensemble.

La sécurité n’est plus un détail de la maison connectée

L’affaire autour du DJI Romo n’est pas qu’un bug de plus. C’est un rappel violent que les appareils domestiques « intelligents » (caméra, micro, cloud) ne sont plus des gadgets, mais des capteurs de foyer. Quand une faille touche le backend, l’attaque change d’échelle : ce n’est plus « un appareil », c’est potentiellement une flotte.

Et le fait que DJI mette en avant des certifications (ETSI / EU/UL) dans sa communication peut se retourner contre elle : l’écart entre un badge de conformité et une architecture réellement robuste devient, tout d’un coup, très visible pour le public.

DJI achète du temps… et de la crédibilité

Le chèque de 30 000 dollars est plus qu’une récompense : c’est un signal à l’écosystème sécurité. DJI avait déjà une réputation compliquée dans ce domaine (dans la manière de traiter certains chercheurs, selon des récits historiques). Cette fois, la marque semble vouloir reprendre la main : payer, publier, promettre des audits tiers, et annoncer « de nouvelles façons » de collaborer avec les chercheurs.

Mais la vraie question est ailleurs : à quelle vitesse DJI peut transformer cette crise en amélioration structurelle (authentification, isolation des flux, contrôle d’accès, télémétrie, monitoring) — et non en patch ponctuel.

 

Tags : DJIDJI Romo
Yohann Poiron

The author Yohann Poiron

J’ai fondé le BlogNT en 2010. Autodidacte en matière de développement de sites en PHP, j’ai toujours poussé ma curiosité sur les sujets et les actualités du Web. Je suis actuellement engagé en tant qu’architecte interopérabilité.

vous pourriez aussi aimer