Tout part d’un test « pour rire » avec une manette PS5. En quelques minutes, un passionné se retrouve à piloter, voir et entendre, à distance, des milliers de robots aspirateurs DJI Romo.Une faille de sécurité sur l’aspirateur robot DJI Romo a permis à Sammy Azdoufal d’accéder à distance à environ 7 000 appareils, répartis dans 24 pays, sans les avoir ciblés au départ. En cherchant à contrôler son propre Romo via une application domotique, il observe que les serveurs de DJI répondent comme si des milliers d’aspirateurs le reconnaissaient comme « maître ». Le cyber chercheur affirme avoir pu regarder la cartographie des logements, générer des plans 2D et exploiter l’adresse IP pour une localisation approximative.
Quand un gadget devient un capteur mondial
Sammy Azdoufal a contacté ZATAZ pour raconter une faille qui aurait pu faire sourire. Il ne s’agit pas d’une campagne d’attaque, mais une dérive presque mécanique. Son idée initiale tient en une phrase : relier un nouvel aspirateur DJI Romo à une manette de PS5, parce que c’est amusant de « conduire » un robot domestique. Le basculement survient au moment où son application de télécommande commence à dialoguer avec l’infrastructure distante de DJI. Là, au lieu de n’obtenir qu’un seul appareil, il voit remonter une foule d’équipements comme s’ils attendaient ses ordres.
Ce qu’il décrit a un parfum d’irréalité, mais les détails techniques rendent l’histoire concrète. Des milliers de Romo émettent, de façon régulière, des paquets MQTT, toutes les trois secondes. Dans ces messages, l’aspirateur déclare son numéro de série, la pièce en cours de nettoyage, la distance parcourue, l’instant où il rentrera à sa station et les obstacles rencontrés. Autrement dit, un journal d’activité domestique qui s’actualise en continu. Lors d’une démonstration, il montre une carte du monde où les robots apparaissent progressivement, au rythme de la collecte. Neuf minutes après le lancement, son ordinateur liste environ 6 700 appareils, dispersés dans 24 pays, et plus de 100 000 messages auraient déjà été enregistrés.
L’enjeu cyber n’est pas seulement le contrôle du déplacement. Azdoufal explique qu’il pouvait prendre la main à distance et, surtout, observer et écouter en direct via les caméras de ces robots. Il dit avoir vérifié cette possibilité avec un ami. La scène, si elle est exacte, change la nature du produit : un aspirateur robot n’est plus un simple outil de nettoyage, mais un capteur mobile capable d’explorer chaque pièce, de dresser une carte et de produire un plan 2D complet du logement. Même sans « pirater » un routeur, l’adresse IP associée à un appareil peut servir d’indice de localisation approximative. À ce stade, la question n’est plus « peut-on faire bouger l’aspirateur« , mais « qui peut regarder l’intérieur d’une maison, et comment« .
Ce que révèle l’incident sur l’architecture et le renseignement
Cette histoire relayée par The Verge met à nu un problème d’architecture plus qu’un exploit isolé. Quand des milliers d’objets connectés traitent un tiers comme un opérateur légitime, le risque ressemble à une erreur de séparation des accès, ou à un défaut d’authentification, ou encore à un mauvais cloisonnement des flux. Le symptôme est clair : au lieu d’être strictement limité au Romo d’Azdoufal, l’échange avec les serveurs a ouvert la porte à une multitude d’identifiants et de télémetries. Le protocole MQTT, conçu pour transporter des messages légers, devient alors le tuyau idéal pour faire transiter une vie domestique en fragments : mouvements, habitudes, pièces utilisées, heures de retour à la base, et potentiellement des images et du son.
Dans un angle renseignement, l’intérêt est évident, sans être besoin d’en faire trop. La cartographie d’un intérieur, associée à des horaires et à une présence, permet de déduire des routines. La géolocalisation « approximative » via IP, même imprécise, suffit parfois à regrouper des appareils par zone, à repérer des concentrations, à corréler avec d’autres signaux. Et si un accès en direct à la caméra et au micro est réellement possible, la frontière entre domotique et surveillance s’effondre. Le robot n’est plus un appareil, c’est un agent mobile, discret, normalisé, accepté dans le foyer.
Azdoufal ajoute un élément révélateur : il dit que le reverse engineering a été mené grâce au SDK de Claude Code. Ce détail n’accuse pas l’outil, il indique surtout une accélération. Les assistants de code et SDK d’IA abaissent la barrière pour explorer un protocole, comprendre une API, automatiser des tests, enchaîner les hypothèses. Dans un monde où les objets connectés se multiplient, cette vitesse nouvelle profite autant aux chercheurs qu’aux acteurs malveillants. La menace immédiate, selon le récit, serait peut-être contenue, mais l’alerte demeure : dès qu’un produit se connecte au cloud, la moindre faille d’accès transforme un appareil du quotidien en source de données à grande échelle.
Cette affaire rappelle qu’un robot ménager connecté peut, par simple défaut de contrôle d’accès, devenir un outil de collecte, et que la vraie bataille se joue dans l’authentification, la segmentation et la traçabilité des flux.
merci à ZATAZ
