Incidents associés
Dans une série d’événements étranges et inquiétants, des aspirateurs robots fabriqués par la société chinoise Ecovacs ont été piratés dans plusieurs villes américaines, les appareils crachant des insultes raciales à leurs propriétaires.
Les aspirateurs concernés, en particulier le modèle Deebot X2, ont été compromis en raison de vulnérabilités de sécurité bien connues, ce qui soulève de sérieuses inquiétudes quant à l’approche de l’entreprise en matière de cybersécurité.
Les piratages ont permis aux attaquants de prendre le contrôle des mouvements des aspirateurs et d’utiliser leurs haut-parleurs intégrés pour crier des propos offensants.
Dans le Minnesota, l’avocat Daniel Swenson a d’abord remarqué des bruits étranges provenant de son aspirateur avant que cela ne dégénère en insultes raciales claires dirigées contre sa famille.
À Los Angeles, un aspirateur a même poursuivi un chien tout en lançant des commentaires injurieux.
Un autre incident à El Paso a suivi un schéma similaire.
La principale vulnérabilité réside dans le système Bluetooth défectueux d’Ecovacs et sa protection par code PIN, qui avaient été signalés plus tôt dans l’année par des chercheurs en cybersécurité.
Malgré les avertissements, l’entreprise n’avait pas entièrement résolu ces problèmes.
Les chercheurs ont révélé que les pirates pouvaient contourner le système PIN censé protéger l'accès à la caméra et aux télécommandes de l'aspirateur, les laissant ainsi vulnérables aux attaques malveillantes.
Swenson a signalé l'incident à Ecovacs, mais a d'abord été confronté au scepticisme du service client. Finalement, l'entreprise a reconnu que son compte avait été compromis par le biais d'un « credential stuffing » (bourrage d'identifiants), une méthode par laquelle les pirates réutilisent des noms d'utilisateur et des mots de passe volés lors d'autres violations de données.
Bien qu'Ecovacs ait par la suite mené une enquête de sécurité et désactivé l'adresse IP du pirate, des inquiétudes subsistent quant à la sécurité globale de ses appareils.
Ecovacs affirme avoir corrigé la faille du code PIN, mais les experts en cybersécurité préviennent que le correctif pourrait ne pas être suffisant.
L'entreprise a promis une mise à niveau de sécurité pour sa série X2 en novembre, mais pour l'instant, de nombreux clients restent méfiants à l'égard de leurs appareils piratés.
Ces incidents mettent en évidence d'importantes lacunes en matière de sécurité des appareils domestiques intelligents, avec un risque potentiel d'atteintes à la vie privée et de comportements nuisibles lorsque le contrôle tombe entre de mauvaises mains.