Incidents associés
L’une des fonctions les plus pratiques des appareils domestiques intelligents est la possibilité de les surveiller à distance lorsque vous n’êtes pas à la maison. Mais l’accès à distance peut créer une vulnérabilité de sécurité importante, comme le démontre une récente vague de piratages d’un aspirateur robot populaire.
En l’espace d’une semaine en mai, ABC News Australia rapporte qu’au moins trois aspirateurs Ecovacs Deebot X2 ont été piratés et que des robots ont été compromis au Minnesota, au Texas et en Californie. Dans chaque cas, les pirates informatiques profitaient du haut-parleur, des télécommandes et de la caméra intégrés pour faire des bêtises.
L’une des victimes, l’avocat du Minnesota Daniel Swenson, regardait innocemment la télévision lorsque son aspirateur a pris vie, selon le rapport. « Cela ressemblait à un signal radio interrompu ou quelque chose comme ça », a-t-il expliqué. « On pouvait entendre des bribes de voix, peut-être. »
Après s'être connecté à l'application, Swenson a observé qu'un inconnu utilisait le flux de la caméra en direct et la fonction de contrôle à distance. Il a changé le mot de passe et redémarré le robot, mais cela n'a pas résolu le problème pour longtemps. Le robot a recommencé à bouger, avec une voix criant des insultes raciales depuis le haut-parleur devant la famille réunie sur le canapé.
Swenson suppose qu'il s'agissait d'un adolescent qui faisait des farces à distance. « Peut-être qu'ils sautaient simplement d'un appareil à l'autre pour embêter les familles. »
Quoi qu'il en soit, il a éteint le robot et l'a relégué au garage, alarmé par les possibilités offertes aux mauvais acteurs, si les pirates n'avaient pas annoncé bruyamment leur présence, le robot vivant auparavant au même étage que la chambre principale.
« Nos plus jeunes enfants prennent leurs douches là-bas », a-t-il déclaré. « Je pensais juste qu'il surprendrait mes enfants ou même moi, vous savez, pas habillé. »
Chez Tom’s Guide, nos rédacteurs experts s’engagent à vous apporter les meilleures nouvelles, critiques et guides pour vous aider à rester informé et à avoir une longueur d’avance !
Le jour même où Swenson a déplacé son robot Ecovacs dans le garage, ABC rapporte qu’un autre Deebot X2 se comportait également de manière angoissante – dans ce cas, il poursuivait un chien dans une maison de Los Angeles pendant que des pirates informatiques criaient des commentaires abusifs sur les haut-parleurs intégrés. Et puis cinq jours plus tard, un autre robot Ecovacs à El Paso a commencé à répéter des insultes raciales aux propriétaires jusqu’à ce qu’il soit débranché.
ABC dit qu’il n’est « pas clair » combien d’appareils Ecovacs ont été piratés au total. Le site avait précédemment expérimenté un piratage Bluetooth du robot de l'entreprise, prenant avec succès le contrôle d'un appareil à proximité, mais compte tenu du large écart géographique entre les attaques signalées, il semble qu'il s'agisse d'une vulnérabilité différente.
Un problème connu, exposé lors d'une conférence sur le piratage informatique en 2023, était que le code PIN à quatre chiffres protégeant la télécommande et la vidéo n'était vérifié que par l'application, plutôt que par le robot lui-même ou le serveur.
Dans une déclaration à ABC News [PDF], Ecovacs a déclaré que ce problème spécifique avait été « résolu » et qu’une autre mise à jour du micrologiciel OTA arriverait « dans la deuxième semaine de novembre 2024 » pour « renforcer encore la sécurité ».
L’entreprise a ajouté que même s’il n’y avait « aucune preuve suggérant que des noms d’utilisateur et des mots de passe aient été obtenus par des tiers non autorisés à la suite d’une violation des systèmes d’Ecovacs », elle avait constaté « un nombre de tentatives de connexion nettement supérieur à la moyenne quotidienne, d’un facteur de 90:1 ». Comme toutes ces tentatives provenaient du même appareil et du même emplacement « inhabituels », l’adresse IP associée a été « immédiatement bloquée ».
« Ecovacs a toujours donné la priorité à la sécurité des produits et des données, ainsi qu’à la protection de la vie privée des consommateurs », conclut l’entreprise. « Nous garantissons à nos clients que nos produits existants offrent un niveau de sécurité élevé dans la vie quotidienne et que les consommateurs peuvent utiliser les produits Ecovacs en toute confiance. »