Incidents associés
En l'espace de quelques jours, des robots aspirateurs ont été piratés dans plusieurs villes américaines. L'attaquant les contrôlait physiquement et hurlait des obscénités via leurs haut-parleurs intégrés.
Les robots concernés étaient tous des Ecovacs Deebot X2 de fabrication chinoise — le modèle exact que l'ABC a pu pirater pour prouver une faille de sécurité critique.
L'avocat du Minnesota Daniel Swenson regardait la télévision lorsque son robot a commencé à mal fonctionner.
"Cela ressemblait à un signal radio interrompu ou quelque chose comme ça", a-t-il déclaré à l'ABC. "On pouvait entendre des bribes de voix peut-être."
Grâce à l'application Ecovacs, il a vu qu'un inconnu accédait à son flux de caméra en direct et à sa fonction de télécommande.
M. Swenson a rejeté l'idée comme étant une sorte de problème technique, a réinitialisé son mot de passe, a redémarré le robot et s'est assis sur le canapé à côté de sa femme et de son fils de 13 ans.
Daniel Swenson se tient dans la pièce où son aspirateur robot a été piraté. (Fourni)
Presque immédiatement, il a recommencé à bouger.
Cette fois, il n'y avait aucune ambiguïté sur ce qui sortait du haut-parleur. Une voix hurlait des obscénités racistes, haut et fort, juste devant le fils de M. Swenson.
"F*** n******s", hurlait la voix, encore et encore.
"J'ai eu l'impression que c'était un enfant, peut-être un adolescent [qui parlait]", a déclaré Swenson. "Peut-être qu'ils sautaient simplement d'un appareil à l'autre pour embêter les familles".
La deuxième fois, il a éteint le haut-parleur.
Cela aurait pu être pire
M. Swenson a gardé son aspirateur robot au même étage que la salle de bain principale de la famille.
« Nos plus jeunes enfants prennent leurs douches là-bas », a-t-il déclaré. « Je pensais juste qu'il surprendrait mes enfants ou même moi, vous savez, sans être habillé. »
Malgré les insultes, M. Swenson était heureux que les pirates aient annoncé leur présence si fort.
Cela aurait été bien pire, a-t-il dit, s'ils avaient décidé d'observer tranquillement sa famille à l'intérieur de leur maison.
L'Ecovacs X2 dispose d'une fonction de télécommande qui permet d'accéder à la caméra de l'appareil. (ABC News : Esther Linder)
Ils auraient pu regarder à travers la caméra de son robot et écouter à travers le microphone, sans qu'il n'en ait la moindre idée.
« C'était le choc », a-t-il déclaré. « Et puis c'était presque comme de la peur, du dégoût. »
Bien que son fils n'ait pas vraiment saisi le « caractère effrayant » de la rencontre, M. Swenson ne prenait aucun risque.
Il a emmené l'appareil au garage et ne l'a plus jamais rallumé.
Des robots piratés dans plusieurs villes
Plusieurs personnes, toutes basées aux États-Unis, ont signalé des incidents de piratage similaires à quelques jours d'intervalle.
Le 24 mai, le jour même où l'appareil de M. Swenson a été piraté, un Deebot X2 s'est déchaîné et a poursuivi le chien de son propriétaire dans leur maison de Los Angeles.
Le robot était dirigé à distance, avec des commentaires abusifs diffusés par les haut-parleurs.
Cinq jours plus tard, un autre appareil a été infiltré.
Tard dans la nuit, un robot Ecovacs à El Paso a commencé à cracher des insultes raciales sur son propriétaire jusqu'à ce qu'il le débranche.
On ne sait pas combien d'appareils de l'entreprise ont été piratés au total.
Six mois plus tôt, des chercheurs en sécurité avaient tenté d'avertir Ecovacs de failles de sécurité importantes dans ses aspirateurs robots et dans l'application qui les contrôle.
La plus grave était une faille dans le connecteur Bluetooth, qui permettait un accès complet à l'Ecovacs X2 à plus de 100 mètres de distance.
Étant donné la nature distribuée des attaques, il est peu probable que cette vulnérabilité ait été exploitée dans ce cas.
Le système de code PIN protégeant le flux vidéo du robot - et la fonction de contrôle à distance - était également connu pour être défectueux, et le son d'avertissement qui est censé être émis lorsque la caméra est surveillée pouvait être désactivé à distance.
Ces problèmes de sécurité pourraient expliquer comment les attaquants ont pris le contrôle de plusieurs robots dans des endroits distincts, et comment ils ont pu surveiller silencieusement leurs victimes une fois qu'elles étaient entrées.
Vous savez quelque chose sur les problèmes de sécurité d'Ecovacs ? Envoyez-moi un message à secure@jtfell.com. (La clé PGP est disponible sur ma page d'auteur).
Ecovacs confirme une cyberattaque sur un appareil
Dans les jours qui ont suivi les incidents avec son aspirateur robot Ecovacs, Daniel Swenson a déposé une plainte auprès de l'entreprise.
Après quelques échanges avec le personnel d'assistance, il a reçu un appel d'un employé senior d'Ecovacs basé aux États-Unis.
« Il a dû me dire trois ou quatre fois que je devais avoir une vidéo de ce qui s'est passé.
« À chaque fois, je lui ai dit : "oui, ce serait génial, mais j'étais plus concentré sur le fait qu'un robot piraté était au milieu de mon salon en train de nous observer et peut-être de nous enregistrer". »
L'employé semblait ne pas croire ce qu'il disait, dit M. Swenson, malgré le fait que plusieurs autres propriétaires aient signalé des attaques similaires à la même époque.
« S'agissait-il d'une tentative de me décourager de poursuivre mes plaintes ? » demande-t-il.
Après cet appel, il a été informé qu'une « enquête de sécurité » avait été menée.
« Votre compte Ecovacs et son mot de passe ont été acquis par une personne non autorisée », lui a indiqué un représentant de l'entreprise par e-mail.
Ils ont également déclaré que l'équipe technique de l'entreprise avait identifié l'adresse IP du coupable et l'avait désactivée pour empêcher tout accès ultérieur.
Dans un e-mail ultérieur, ils lui ont dit qu'il y avait « une forte possibilité que votre compte Ecovacs ait été affecté par un « bourrage d'identifiants ». "Cyberattaque".
Il s'agit d'une situation où quelqu'un réutilise le même nom d'utilisateur et le même mot de passe sur plusieurs sites Web et où la combinaison est volée lors d'une autre cyberattaque.
L'entreprise a déclaré à ABC qu'elle n'avait "trouvé aucune preuve" que les comptes aient été piratés par "une quelconque violation des systèmes d'Ecovacs".
Une faille de sécurité connue pourrait être à l'origine du problème
Même si M. Swenson avait utilisé le même nom d'utilisateur et le même mot de passe sur d'autres sites et si ces informations d'identification avaient fuité en ligne, cela n'aurait pas dû suffire pour accéder au flux vidéo ou pour contrôler le robot à distance.
Ces fonctionnalités sont censées être protégées par un code PIN à quatre chiffres.
Cependant, deux chercheurs en cybersécurité avaient révélé qu'il était possible de le contourner lors d'une conférence sur le piratage informatique en décembre 2023.
Dennis Giese et Braelynn Luedtke ont déclaré sur scène que ce système était basé sur un « système d'honneur ».
Dennis Giese et Braelynn Luedtke présentent leurs conclusions lors d'une conférence sur le piratage informatique en décembre 2023. (Fourni : Chaos Communication Congress)
Le code PIN n'était vérifié que par l'application, et non par le serveur ou le robot. Ce qui signifie que toute personne disposant des connaissances techniques nécessaires pouvait contourner complètement la vérification.
Ils avaient prévenu Ecovacs du problème avant de rendre public l'exploit.
Un porte-parole d'Ecovacs a déclaré que cette faille avait désormais été corrigée, mais M. Giese a déclaré à l'ABC que la solution de l'entreprise n'était pas suffisante pour combler la faille de sécurité.
Le porte-parole a également déclaré que l'entreprise avait « envoyé un e-mail rapide » demandant aux clients de changer leur mot de passe après l'incident.
Ecovacs a déclaré qu'elle publierait une mise à niveau de sécurité pour les propriétaires de sa série X2 en novembre.
M. Swenson a déclaré qu'il n'avait pas été informé du problème du code PIN dans aucune de ses communications avec Ecovacs.
« Je leur ai demandé si c'était un problème connu », a-t-il déclaré. « Si cela était arrivé à d'autres personnes. »
« Ils ont juste l'air choqués, comme si cela n'était pas arrivé. »
Lire la déclaration complète d'Ecovacs ici (téléchargement PDF).