Site icon Innovation Today

Il branche une manette PS5 à son aspirateur et découvre qu’on peut espionner des milliers de maisons — la faille choc de DJI Romo

Matilde

Une manette PS5, un aspirateur DJI Romo et une faille qui mettraient votre maison en danger

Ce qui a commencé comme un petit bricolage ludique s’est transformé en découverte alarmante. En voulant piloter son robot aspirateur DJI Romo avec une manette PS5, un propriétaire a fini par révéler une faille d’authentification capable d’exposer cartes d’intérieur et flux vidéo d’un grand nombre d’appareils DJI. L’affaire illustre à quel point une mauvaise implémentation de la sécurité IoT peut transformer un objet domestique en porte d’entrée vers la vie privée des utilisateurs.

Du hack ludique à la découverte de la vulnérabilité

Sammy Azdoufal, utilisateur de Romo, souhaitait simplement s’amuser : contrôler son robot avec un DualSense PS5. Pour cela, il a entrepris de rétro‑ingénierie l’application mobile DJI et d’analyser le protocole de communication. Il a sollicité l’aide d’un modèle d’IA spécialisé dans le code (Claude Code) pour décoder les échanges entre l’application et le robot et générer l’outil de commande. L’IA a aidé à comprendre le protocole et à créer un outil de contrôle à distance.

La surprise est venue lorsque cet outil a révélé qu’un token d’authentification extrait de l’application permettait d’accéder bien au‑delà du seul appareil de Sammy : il offrait une fenêtre vers d’autres robots et power stations de la flotte DJI.

MQTT et tokens mal cloisonnés : le nœud du problème

Les robots Romo utilisent MQTT, un protocole léger très courant dans l’Internet des objets, pour échanger des messages avec les serveurs DJI et l’application mobile. MQTT, correctement configuré, peut être sûr, mais la mise en œuvre de l’authentification chez DJI présentait une faiblesse : le token délivré par l’application n’était pas strictement lié à un seul appareil ou à un scope d’accès limité.

Autrement dit, une fois ce token en main, il était possible d’interroger des ressources liées à d’autres appareils : récupérer des métadonnées, des plans d’appartement générés par le robot, et dans certains cas des flux vidéo. Ce défaut d’isolation des tokens a rendu l’ensemble de la flotte potentiellement accessible.

Des plans d’intérieur et des flux vidéo à portée de main

Les conséquences sont particulièrement inquiétantes. Le chercheur a pu consulter :

  • Les scans et plans d’orientation des intérieurs — ces cartes que les robots dressent pour se repérer dans la maison.
  • Les flux vidéo captés par les caméras intégrées sur certains modèles.

    • Ces informations révèlent l’agencement des pièces, la présence d’objets sensibles, et peuvent, dans le pire des scénarios, permettre une surveillance à distance des habitudes des occupants. Le risque est évidemment majeur en termes de vie privée et potentiellement d’atteinte à la sécurité domestique.

    La réaction de DJI et les corrections appliquées

    Alertée de la faille, DJI a réagi en corrigeant les points les plus critiques. L’entreprise a modifié son mécanisme d’authentification pour réduire l’accès indiscriminé et empêcher l’exploitation massive des tokens. Ces correctifs ont limité la possibilité de lister ou de consulter en bloc les données d’autres utilisateurs.

    Cependant, la société n’a pas forcément totalement éradiqué toutes les vulnérabilités. Des éléments résiduels subsistent, notamment la possibilité signalée de contourner le PIN requis pour visionner certains flux vidéo — un dernier garde‑fou qui, s’il est contournable, affaiblit la protection globale.

    Le rôle ambivalent de l’IA dans la découverte

    Il est intéressant de noter que l’IA a joué un rôle d’accélérateur dans la découverte : Claude Code a permis d’automatiser et d’accélérer l’analyse du protocole et la génération d’un outil de contrôle. Cela illustre un paradoxe : l’IA facilite la recherche de vulnérabilités de manière productive et responsable, mais la même automatisation peut, entre de mauvaises mains, faciliter des attaques sophistiquées par des personnes moins qualifiées.

    Leçons pour la sécurité des objets connectés

    Plusieurs enseignements à tirer de cet incident :

  • Ne jamais lier un token d’accès de façon trop permissive : chaque token doit être scoped et rattaché à un appareil / utilisateur.
  • Appliquer le principe du moindre privilège pour limiter les actions accessibles via une authentification donnée.
  • Mettre en place des mécanismes de défense en profondeur : chiffrement, validation côté serveur, vérification d’origine des requêtes, et PINs réellement inviolables.
  • Surveiller et auditer les accès : détecter les patterns anormaux d’accès à grande échelle permet de contrer rapidement une exploitation.

    • Que peuvent faire les utilisateurs dès maintenant ?

  • Mettre à jour régulièrement le firmware des appareils et l’application DJI dès qu’un correctif est disponible.
  • Activer toutes les protections proposées (PIN, mots de passe forts, authentification à deux facteurs si disponible).
  • Segmenter le réseau domestique : placer les objets IoT sur un VLAN séparé réduit la portée en cas de compromission.
  • Surveiller les permissions et les connexions sortantes depuis les appareils IoT et signaler toute activité suspecte au fabricant.

    • Impact plus large : responsabilité des fabricants

    Cette affaire rappelle la responsabilité critique qui pèse sur les fabricants d’objets connectés. Lorsqu’un appareil collecte des données sensibles (cartes d’intérieur, flux vidéo), la conception sécurisée n’est pas facultative : elle doit être pensée dès l’architecture. Une seule erreur de design, comme la gestion laxiste d’un token, peut exposer des milliers de dispositifs en circulation.

    Le cas montre aussi l’importance d’un dialogue constructif entre chercheurs indépendants et industriels : une divulgation responsable a permis la correction d’au moins une partie du problème. Les modalités de notification, de correction et de déploiement des patchs doivent être robustes et rapides pour protéger les utilisateurs au quotidien.

    Points clés

  • Un bidouillage visant à piloter un Romo avec une manette PS5 a révélé une faille d’authentification chez DJI.
  • La faiblesse permettait d’accéder à des cartes d’intérieur et, dans certains cas, à des flux vidéo d’autres appareils.
  • DJI a corrigé les éléments critiques, mais des vulnérabilités résiduelles subsistent.
  • La sécurité IoT exige une conception rigoureuse des tokens, du cloisonnement des accès et des mécanismes de défense en profondeur.
    • Quitter la version mobile