Un contrôleur PS5, un aspirateur DJI Romo et une faille qui expose des maisons entières
Ce qui commence souvent comme une bidouille amusante peut parfois révéler des vulnérabilités profondes. C’est précisément ce qui est arrivé à Sammy Azdoufal, propriétaire d’un robot aspirateur DJI Romo : en tentant de piloter son appareil avec une manette PS5 — et en demandant à une IA de l’aider à écrire le code nécessaire — il a mis au jour une faille de sécurité permettant d’accéder à des données sensibles de nombreux appareils DJI dans le monde.
Du jeu au piratage : la chaîne d’événements
L’idée de départ était simple et ludique : transformer le Romo en petite voiture télécommandée contrôlée par un DualSense. Pour y parvenir, Sammy a analysé l’application DJI et entrepris une ingénierie inverse du protocole de communication entre l’appli et le robot. Il a fait appel à Claude Code, un modèle d’IA spécialisé dans la génération et l’analyse de code, pour décoder les échanges et produire un outil de contrôle.
Rapidement, l’outil créé avec l’aide de l’IA a permis d’émettre des commandes au robot. Mais la surprise est venue quand cet accès s’est avéré bien plus large : en extrayant un token d’authentification depuis l’application DJI, il a pu interroger d’autres appareils de la plateforme DJI et visualiser des informations qui ne devraient absolument pas être publiques.
MQTT et tokens : où tout a basculé
Les robots Romo communiquent avec les serveurs DJI (et l’application mobile) via le protocole MQTT, très répandu dans l’Internet des Objets en raison de sa légèreté. MQTT n’est pas en soi dangereux ; le problème résidait dans la manière dont DJI implantait l’authentification. Une fois obtenu, le token d’authentification n’était pas strictement lié à un appareil ou à un utilisateur donné. Autrement dit, un token valable permettait d’accéder à des ressources associées à d’autres robots présents sur la même plateforme.
Conséquences : plans d’appartements et flux vidéo
Avec un token « trop permissif », l’expérimentateur a pu afficher des cartes de planimétrie — les cartes que les robots dressent pour se repérer dans un logement — et, plus grave, regarder les flux vidéo provenant des caméras intégrées aux aspirateurs. Ces cartes et vidéos révèlent l’agencement des pièces, la présence d’objets, et potentiellement des allées et venues des occupants. Autant d’informations extrêmement sensibles qui, si elles tombent entre de mauvaises mains, peuvent faciliter intrusion physique, surveillance et atteintes à la vie privée.
La réaction de DJI et ce qui reste à corriger
Alertée par la découverte, DJI a corrigé les éléments les plus critiques de son infrastructure pour empêcher l’accès massif et indiscriminé aux données des autres appareils. L’entreprise a modifié son système d’authentification afin de mieux cloisonner les tokens et limiter les possibilités d’exploitation.
Cependant, l’intervention n’a pas fermé toutes les portes. Il demeure des vulnérabilités résiduelles documentées par le chercheur : notamment la possibilité de contourner le code PIN destiné à protéger l’accès aux flux vidéo des robots. Autrement dit, une dernière couche de défense n’avait pas été conçue de façon suffisamment robuste, et peut encore être déjouée dans certaines conditions.
Le rôle de l’IA : outil accélérateur ou complice involontaire ?
Le cas met aussi en avant un point important : l’IA a servi d’accélérateur technique. En automatisant la génération de code et l’analyse des échanges réseau, Claude Code a permis d’identifier rapidement les faiblesses qui auraient pu rester plus longtemps cachées. Ce constat est double : d’un côté, l’IA peut faciliter la découverte responsable de failles (comme ici) ; de l’autre, elle pourrait, si utilisée à des fins malveillantes, rendre accessible à des acteurs sans compétence avancée des attaques techniquement sophistiquées.
Enseignements pour la sécurité des objets connectés
Plusieurs leçons à tirer de cette affaire :
Que faire si vous possédez un Romo (ou un appareil similaire) ?
Impact plus large : confiance et responsabilité des fabricants
L’incident souligne l’importance de la responsabilité des fabricants d’objets connectés. Lorsqu’un appareil traite des données potentiellement privées (cartes d’intérieur, vidéos, logs d’activité), son constructeur doit appliquer des standards élevés de sécurité dès la conception. Faute de quoi, des millions d’appareils déployés dans des foyers deviennent des vecteurs d’exposition.
Enfin, cette histoire illustre aussi la nécessité d’un dialogue constructif entre chercheurs en sécurité et fabricants : la découverte et la divulgation responsable permettent de corriger rapidement les failles, mais demandent des processus clairs et réactifs pour qu’un correctif soit effectivement déployé à grande échelle.