Sammy Azdoufal ne cherchait pas à devenir le Big Brother des aspirateurs. Il voulait juste s’amuser. Son objectif ? Contrôler son tout nouveau DJI Romo avec une manette de PlayStation 5. Un projet de bidouilleur classique, aidé par l’IA Claude Code pour décortiquer les protocoles de communication de DJI.
Mais en connectant son application aux serveurs de la marque, la réalité l’a rattrapé. Ce n’est pas son robot qui a répondu, mais une armée de 6 700 appareils répartis dans 24 pays. Sans rien pirater, sans forcer la moindre porte, il a reçu en temps réel les numéros de série, l’état de la batterie, et surtout, l’accès aux flux vidéo et audio de milliers d’inconnus.
Votre production solaire dépasse votre consommation ? Le SolarFlow 2400AC+ dirige automatiquement le surplus vers vos batteries pour l’utiliser le soir. Réduisez votre facture 24h/24.
Le plus inquiétant ? En ajoutant les stations de charge DJI Power, qui utilisent les mêmes serveurs, c’est un parc de 10 000 appareils qui se retrouvait à nu.
Une passoire nommée MQTT
Voici comment ça marche. Les appareils DJI communiquent avec les serveurs via un protocole nommé MQTT. En récupérant son propre jeton d’accès (token), Sammy Azdoufal a réalisé que le serveur ne vérifiait pas si les données demandées appartenaient bien à l’utilisateur. Une fois identifié avec sa clé, il pouvait demander les informations de n’importe quel autre robot en utilisant simplement son numéro de série.
Lors d’une démonstration pour The Verge, le constat a été immédiat. Avec le numéro de série d’un robot de test situé dans un autre pays, Azdoufal a pu voir en quelques secondes que l’appareil nettoyait le salon et qu’il lui restait 80 % de batterie. Plus grave encore, il a généré le plan 2D précis de l’appartement en temps réel. Le flux vidéo, lui, était accessible en contournant totalement le code PIN de sécurité défini par l’utilisateur.
Le problème ne vient pas du chiffrement en transit (le fameux TLS), mais de ce qui se passe à l’intérieur du tuyau. DJI se défend en affirmant que les données sont stockées sur des serveurs AWS aux États-Unis, mais comme le souligne le chercheur Kevin Finisterre, cela n’empêche absolument pas un employé en Chine ou un utilisateur malin d’accéder aux informations si les droits d’accès au niveau du serveur sont mal configurés.
Un timing désastreux pour DJI
Cette faille arrive au pire moment pour DJI. Alors que la marque lutte pour ne pas être bannie du sol américain pour des soupçons d’espionnage, voir qu’un utilisateur lambda peut voir à travers les yeux de milliers de robots n’aide pas à la confiance. DJI a bien tenté de minimiser l’affaire, affirmant que la faille avait été corrigée avant sa divulgation publique. La réalité ? Lors des tests effectués mardi dernier, la vulnérabilité était encore bien présente.
Pour aller plus loin
Les États-Unis interdisent DJI et tous les drones étrangers : voici les conséquences directes
Il a fallu une seconde mise à jour, déployée en urgence le 10 février, pour que le scanner du chercheur s’arrête enfin de recevoir des paquets de données. Pourtant, tout n’est pas réglé. Le chercheur affirme que certaines failles persistent, comme la possibilité de voir son propre flux vidéo sans PIN, ou d’autres vulnérabilités plus critiques qu’il préfère taire pour l’instant.
Pour aller plus loin
Test du DJI Romo P : le maître du ciel s’attaque au sol
Envie de retrouver les meilleurs articles de Frandroid sur Google News ? Vous pouvez suivre Frandroid sur Google News en un clic.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et .
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.