Le robot aspirateur DJI Romo : une faille de sécurité coûte 30 000 $ à DJI
Le 14 février dernier, j’ai rapporté une histoire qui a rapidement fait le tour du monde : un homme, Sammy Azdoufal, en tentant simplement de contrôler son robot aspirateur DJI Romo avec une manette PlayStation, a découvert un réseau de 7 000 robots connectés, ouvrant potentiellement la porte à l’espionnage domestique. DJI a finalement décidé de récompenser Azdoufal pour sa découverte.
Une récompense de 30 000 $ pour un bug inattendu
DJI versera 30 000 $ à Sammy Azdoufal, comme l’a confirmé l’entreprise à The Verge. DJI n’a pas précisé pour quelle découverte exactement cette somme est versée, se contentant de parler d’un “chercheur en sécurité anonyme”. Il semble que la récompense soit liée à la vulnérabilité permettant de visualiser le flux vidéo d’un DJI Romo sans code PIN, une faille que DJI affirme avoir corrigée fin février.
Cette situation contraste avec la gestion antérieure des signalements de vulnérabilités par DJI, notamment l’affaire Kevin Finisterre en 2017. Il était donc incertain de savoir si DJI récompenserait Azdoufal, et dans quel délai les vulnérabilités seraient corrigées.
Des vulnérabilités multiples et des correctifs en cours
Au-delà de la faille du code PIN, une autre vulnérabilité, jugée plus grave, avait été découverte. DJI travaille actuellement à la corriger et prévoit de déployer une série de mises à jour dans le mois à venir. L’entreprise a publié un article de blog sur le renforcement de la sécurité du Romo, affirmant avoir découvert le problème initialement, tout en reconnaissant le travail de “deux chercheurs en sécurité indépendants”.
DJI insiste sur le fait que des mises à jour ont été déployées pour résoudre complètement le problème, mais admet que d’autres correctifs sont encore en cours de déploiement. L’entreprise met également en avant les certifications de sécurité (ETSI, EU, UL) du Romo, soulevant la question de leur efficacité si un simple code pouvait compromettre l’ensemble du réseau.
L’avenir de la sécurité des objets connectés : un enjeu majeur
Cet incident met en lumière les défis croissants en matière de sécurité des objets connectés. Les robots aspirateurs, les caméras de surveillance, et même les jouets connectés, sont autant de points d’entrée potentiels pour les pirates informatiques. La complexité croissante de ces appareils, combinée à un manque de sensibilisation à la sécurité, crée un terrain fertile pour les vulnérabilités.
DJI s’engage à renforcer sa collaboration avec la communauté de recherche en sécurité et à mettre en place de nouvelles méthodes de partenariat. C’est une étape cruciale pour garantir la sécurité de ses produits et la confiance de ses utilisateurs.
FAQ : Questions fréquentes sur la faille DJI Romo
- Qu’est-ce qui a permis cette faille ? L’utilisation d’un code non sécurisé a permis à un utilisateur d’accéder à un réseau de robots aspirateurs DJI.
- DJI a-t-il corrigé la faille ? DJI affirme avoir corrigé la vulnérabilité du code PIN et travaille sur d’autres correctifs.
- Combien Sammy Azdoufal a-t-il reçu ? Il a reçu 30 000 $ pour sa découverte.
- Mes données sont-elles en sécurité ? DJI encourage les utilisateurs à mettre à jour leurs appareils pour bénéficier des derniers correctifs de sécurité.
Cet incident avec le DJI Romo est un rappel important : la sécurité des objets connectés est une responsabilité partagée. Les fabricants doivent investir dans la sécurité dès la conception, et les utilisateurs doivent adopter des pratiques responsables pour protéger leurs données et leur vie privée.
N’hésitez pas à partager vos réflexions sur cet incident dans les commentaires ci-dessous. Pour en savoir plus sur la sécurité des objets connectés, consultez nos autres articles sur nouvelles-du-monde.com. Abonnez-vous à notre newsletter pour rester informé des dernières tendances en matière de technologie et de sécurité.
