Incidents associés
En voulant contrôler son nouvel aspirateur robot DJI à l'aide d'une manette de jeu vidéo, un ingénieur logiciel a involontairement eu accès à des milliers de foyers.
Alors qu'il développait sa propre application de télécommande, Sammy Azdoufal aurait utilisé un assistant de programmation IA pour comprendre comment le robot communiquait avec les serveurs cloud de DJI. Mais il a rapidement découvert que les mêmes identifiants qui lui permettaient de voir et de contrôler son appareil donnaient également accès aux flux vidéo en direct, à l'audio du microphone, aux cartes et aux données d'état de près de 7 000 autres aspirateurs répartis dans 24 pays. Cette faille de sécurité a exposé une multitude de robots connectés à Internet qui, entre de mauvaises mains, auraient pu se transformer en outils de surveillance, à l'insu de leurs propriétaires.
Heureusement, Azdoufal a choisi de ne pas exploiter cette vulnérabilité. Au lieu de cela, il a partagé ses découvertes avec The Verge, qui a rapidement contacté DJI pour signaler la faille. Bien que DJI affirme à Popular Science que le problème est « résolu », cet épisode spectaculaire souligne les avertissements des experts en cybersécurité qui alertent depuis longtemps sur le fait que les robots connectés à Internet et autres appareils domotiques constituent des cibles privilégiées pour les pirates informatiques.
Avec l'adoption croissante des robots domestiques (notamment les nouveaux modèles humanoïdes plus interactifs), des vulnérabilités similaires pourraient devenir plus difficiles à détecter. Les outils de codage basés sur l'IA, qui facilitent l'exploitation des failles logicielles par des personnes moins compétentes techniquement, risquent d'amplifier encore davantage ces inquiétudes.
Découverte d'une faille de sécurité majeure
Le robot en question est le DJI Romo, un aspirateur robot autonome lancé en Chine l'année dernière et actuellement en cours de déploiement dans d'autres pays. Il est vendu environ 2 000 $ et sa taille, une fois sur sa station de base, est comparable à celle d'un grand terrier ou d'un petit réfrigérateur. Comme les autres aspirateurs robots, il est équipé de nombreux capteurs lui permettant de se déplacer et de détecter les obstacles. Les utilisateurs peuvent le programmer et le contrôler via une application, mais il est conçu pour passer la majeure partie de son temps à nettoyer et laver les sols de manière autonome.
Pour que le Romo, ou tout autre aspirateur robot moderne, fonctionne, il doit collecter en permanence des données visuelles du bâtiment dans lequel il opère. Il doit également comprendre les spécificités qui distinguent, par exemple, une cuisine d'une chambre, afin de faire la différence entre les deux. Certaines de ces données de capteurs sont stockées à distance sur les serveurs de DJI, et non sur l'appareil lui-même. Pour que le contrôleur DIY d'Azdoufal fonctionne, son application devait pouvoir communiquer avec les serveurs de DJI et extraire un jeton de sécurité prouvant qu'il est le propriétaire du robot.
Au lieu de se contenter de vérifier un seul jeton, les serveurs ont accordé l'accès à un grand nombre de robots, le considérant de fait comme leur propriétaire respectif. Cette erreur a permis à Azdoufal d'accéder aux flux vidéo de leurs caméras en temps réel et d'activer leurs microphones. Il affirme également avoir pu compiler des plans 2D des maisons où les robots intervenaient. Un simple coup d'œil aux adresses IP des robots a également révélé leur localisation approximative. Azdoufal insiste : rien de tout cela ne constitue du « piratage » de sa part. Il a tout simplement découvert une faille de sécurité majeure.
« DJI a identifié une vulnérabilité affectant DJI Home lors d'un audit interne fin janvier et a immédiatement entrepris des démarches correctives », a déclaré DJI à Popular Science. « Le problème a été résolu par deux mises à jour : un premier correctif a été déployé le 8 février et une seconde mise à jour le 10 février. Le correctif a été déployé automatiquement et aucune action de l'utilisateur n'est requise. »
L'entreprise a ensuite indiqué son intention de « continuer à mettre en œuvre des améliorations de sécurité supplémentaires », sans toutefois préciser leur nature.
Les propriétaires sont confrontés au coût de la vie privée lié aux maisons connectées.
Ces préoccupations en matière de sécurité chez DJI surviennent dans un contexte d'inquiétude croissante concernant les capacités de surveillance des technologies de la maison connectée. Plus tôt ce mois-ci, les propriétaires de caméras Ring ont inondé les réseaux sociaux après qu'une publicité controversée pour la fonctionnalité « Search Party » de l'entreprise, permettant de retrouver des animaux de compagnie, ait été interprétée par certains comme un cheval de Troie dissimulant une surveillance accrue. À peu près au même moment, des informations selon lesquelles Google aurait pu récupérer des images vidéo d'une sonnette Nest pour faciliter une enquête pour enlèvement (malgré des indications antérieures selon lesquelles les images auraient été supprimées) ont relancé le débat sur le contrôle réel des consommateurs sur leurs données sensibles.
De plus, des élus des deux partis américains alertent depuis des années sur le fait que DJI et d'autres fabricants de technologies chinois représentent une menace pour la sécurité. Bien que les preuves à l'appui de ces affirmations soient floues, elles ont néanmoins contribué à justifier l'interdiction de certains produits fabriqués en Chine.
L'ironie de nombreux aspirateurs robots et autres appareils domotiques réside dans leur longue histoire de pratiques de sécurité douteuses, alors même qu'ils opèrent dans certains de nos espaces les plus intimes. Tout porte à croire que le citoyen lambda accueillera bientôt davantage de caméras et de microphones dans son domicile, et non l'inverse. En 2020, le cabinet d'études de marché Parks Associates estimait à environ 13 millions le nombre de foyers américains connectés à Internet ayant fait leur entrée sur le marché de la maison connectée depuis 2020. D'autres enquêtes montrent que ceux qui en possèdent déjà un souhaitent souvent en acquérir davantage.
Les appareils qui intègrent nos foyers deviennent également plus sophistiqués. Bien qu'il soit encore trop tôt pour se prononcer, Tesla, Figure et d'autres entreprises se livrent une véritable course pour concevoir des robots autonomes à l'apparence humaine, capables de vivre à la maison et d'effectuer des tâches ménagères. La société 1X commercialise déjà l'un de ces humanoïdes, affirmant qu'il peut faire la vaisselle et casser des noix. noix---même si souvent avec un peu d'aide d'un humain. Finalement, pour que ces robots domestiques fonctionnent efficacement, ils auront besoin d'un accès sans précédent aux détails les plus intimes du domicile de leurs propriétaires. Pour un harceleur ou un pirate informatique, cela représente une véritable mine d'or.
Fidèle à sa parole, Azdoufal s'est retrouvé malgré lui mêlé à cette histoire, alors qu'il voulait simplement piloter son robot à l'aide d'un joystick. De ce point de vue, mission accomplie.