Dans ce qui restera sans doute comme le plus beau « but contre son camp » de l’histoire de la sécurité IoT, un ingénieur logiciel a accidentellement pris le contrôle total de près de 7 000 aspirateurs robots DJI répartis dans 24 pays. Le chercheur, Sammy Azdoufal, n’avait pourtant aucune intention de déclencher un soulèvement des machines ; il voulait simplement piloter son nouveau DJI Romo — un joujou indécemment cher — avec une manette de PlayStation 5. Parce que, soyons honnêtes, pourquoi pas ?
Pour concrétiser ce rêve de geek, Azdoufal a utilisé un assistant de code dopé à l’IA afin de l’aider à rétro-concevoir les protocoles de communication du robot. Après avoir réussi à extraire le jeton d’authentification (token) de son propre appareil, il s’est connecté aux serveurs de DJI. Mais au lieu de ne recevoir qu’un signe de vie de son unique sbire nettoyeur de sols, c’est une armée d’environ 7 000 robots qui a répondu à l’appel. La faille lui a donné un accès direct aux flux vidéo et audio en direct, aux plans 2D des habitations et à l’état des appareils de milliers d’utilisateurs qui ne se doutaient de rien.
À l’origine du problème se trouve une erreur de sécurité aussi simple que catastrophique. Les serveurs backend de DJI authentifiaient bien le jeton de l’utilisateur, mais omettaient apparemment l’étape cruciale suivante : vérifier que l’utilisateur était bien le propriétaire de l’appareil spécifique auquel il tentait d’accéder. En résumé, n’importe quelle clé valide pouvait ouvrir n’importe quelle porte de la planète. Azdoufal a souligné qu’il n’avait « enfreint aucune règle, contourné aucune sécurité, ni utilisé de force brute », précisant qu’il s’était contenté de franchir une porte numérique grande ouverte.
Pourquoi est-ce important ?
Cet incident est un cas d’école sur les dangers de la sécurité des objets connectés modernes. Nous introduisons chez nous des produits dotés d’un accès intime à notre vie privée — caméras et micros inclus — parfois protégés par l’équivalent numérique d’un simple loquet de jardin. Si le potentiel d’une violation massive de la vie privée à l’échelle mondiale était énorme, Azdoufal a agi de manière responsable en signalant immédiatement la vulnérabilité.
Il faut reconnaître à DJI une réactivité exemplaire. Une fois informée, l’entreprise a déployé un correctif côté serveur en seulement deux jours, sans qu’aucune action ne soit requise de la part des utilisateurs. Si des questions subsistent sur la manière dont une faille aussi élémentaire a pu passer les contrôles de production, la rapidité de la réponse a permis d’éviter un désastre. Une leçon pour tous les fabricants d’IoT : verrouillez vos portes, et assurez-vous surtout que les clés de vos clients ne fonctionnent pas chez tout le voisinage.
