Incidents associés
Les aspirateurs robots d’Ecovacs sont apparemment assez faciles à pirater. L’entreprise chinoise a un long historique de failles de sécurité qui permettent à des personnes mal intentionnées de faire ce qu’elles veulent avec ces petits aspirateurs, comme espionner ses propriétaires avec sa caméra embarquée.
Ecovacs vient d'être piraté à nouveau dans plusieurs États américains. Les aspirateurs ont été conçus pour crier des insultes raciales à des personnes sans méfiance. Dans quelle étrange dystopie nous vivons.
Le problème concerne spécifiquement le modèle Deebot X2 d'Ecovacs. Les pirates ont pris le contrôle des appareils et ont utilisé les haut-parleurs intégrés pour lancer des insultes raciales à toute personne à portée d'oreille. L'une de ces personnes était un avocat du Minnesota nommé Daniel Swenson. Il regardait la télévision lorsqu'il a entendu des bruits étranges provenant de son aspirateur. Il a changé le mot de passe et l'a redémarré. Mais les bruits étranges ont recommencé. Et puis, il s'est mis à lui crier des insultes raciales comme une femme de ménage mécontente et maussade.
De nombreux incidents similaires ont été signalés aux États-Unis à la même époque. L'un d'eux s'est produit à Los Angeles, où un aspirateur a poursuivi un chien tout en vomissant de la haine. Un autre s'est produit à El Paso, où l'aspirateur a proféré des insultes jusqu'à ce que son propriétaire l'éteigne.
Les attaques sont apparemment assez faciles à réaliser grâce à plusieurs vulnérabilités de sécurité connues dans les Ecovacs, comme un mauvais connecteur Bluetooth et un système PIN défectueux qui est censé protéger les flux vidéo et l'accès à distance, mais qui ne fait en fait rien de tout cela.
Deux chercheurs en cybersécurité ont publié un rapport sur Ecovacs détaillant les multiples failles de sécurité de la marque plus tôt cette année. Il semble que l’entreprise n’ait pas encore résolu tous ses problèmes critiques et qu’elle ne pense même pas que ses aspirateurs puissent être piratés, du moins selon le propriétaire Daniel Swenson, qui affirme que le service client de l’entreprise ne l’a pas cru lorsqu’il a dit que son aspirateur lui criait le mot « N ».
Ce qui… étant donné l’absurdité de la situation, je pense que je serais un peu sceptique aussi. Mais étant donné l’attitude laxiste de l’entreprise en matière de cybersécurité, il semble que le service client devrait être informé qu’il pourrait occasionnellement recevoir des appels concernant des aspirateurs racistes.
Swenson affirme que le service client pense que les pirates informatiques ont peut-être obtenu l'accès via un processus appelé « credential stuffing », qui consiste à utiliser d'anciens mots de passe collectés lors de piratages d'autres sites Web et services pour accéder à d'autres aspects de la vie numérique d'un utilisateur.