Une faille de sécurité expose les caméras et les cartes de 7 000 robots aspirateurs DJI Romo dans 24 pays

Un ingénieur logiciel espagnol a découvert une grave faille de sécurité dans le robot aspirateur DJI Romo, lancé en février 2026 par la société chinoise. Sammy Azdoufal est uniquement destiné à créer une application personnalisée pour contrôler votre propre appareil avec une manette PlayStation 5. Durante l’expérience, il a accédé aux données d’environ 7 000 unités dans au moins 24 pays. La faille permettait de visualiser les flux de caméras en direct, le son du microphone, les plans des maisons et les emplacements approximatifs basés sur les adresses IP.

L’incident s’est produit parce que le jeton d’authentification extrait de l’appareil de Azdoufal servait de clé principale sur les serveurs de DJI. Ele n’avait pas besoin de pénétrer dans les systèmes ou d’utiliser la force brute. Le protocole MQTT, utilisé pour la communication entre les robots et le cloud, ne validait pas correctement les autorisations par appareil. Isso a entraîné un accès non autorisé à des informations sensibles de milliers d’utilisateurs à leur insu.

DJI a confirmé l’existence du problème lors de la notification. La société a mis en œuvre des corrections dans deux mises à jour automatiques début février 2026. Les mises à jour Essas limitaient les accès non autorisés et étaient appliquées sans nécessiter l’intervention des propriétaires d’appareils. La faille affectait principalement la communication basée sur MQTT entre les appareils et le serveur cloud.

Découverte lors d’une expérimentation à domicile

Sammy Azdoufal a utilisé l’outil d’IA de Anthropic, Claude, pour analyser le protocole de communication de Romo. Ele a développé un client personnalisé qui mappait les commandes du contrôleur PS5 aux mouvements du robot. Le but était de rendre l’opération plus ludique, à l’image d’un jeu.

Lors des tests, l’application s’est connectée au serveur DJI. Au lieu de recevoir des données uniquement de votre Romo, il a obtenu des informations provenant de milliers d’autres appareils. Azdoufal a pu contrôler les appareils à distance, vérifier les niveaux de batterie et observer ce que les caméras capturaient en temps réel.

Il a démontré l’accès en temps réel pour les journalistes. En quelques minutes seulement, il a collecté plus de 100 000 messages de télémétrie envoyés par des robots toutes les quelques secondes. Les données comprenaient l’état de nettoyage, les obstacles détectés et les cartes générées par les capteurs.

Comment fonctionnait la faille technique

Le protocole MQTT permet aux appareils de publier et de s’abonner à des sujets de messages de manière légère. Dans le cas du Romo, les appareils envoyaient des paquets constants avec le numéro de série, l’état et les données visuelles. Le serveur acceptait de larges abonnements sans restrictions par jeton individuel.

L’authentification n’a pas lié le jeton à un appareil spécifique. Le jeton valide Qualquer permettait un accès large. Isso a affiché non seulement la vidéo et l’audio, mais également les plans détaillés des résidences.

Les experts en cybersécurité soulignent que des failles similaires se produisent dans les appareils IoT lorsque les contrôles d’accès au cloud sont insuffisants. L’incident renforce les risques liés aux produits connectés qui cartographient les environnements intérieurs.

Réponse de DJI et correctifs appliqués

DJI a commencé les corrections internes en janvier 2026. Após a contacté Azdoufal et les organes de presse, la société a accéléré les mises à jour. Les correctifs Duas ont été automatiquement envoyés les 8 et 10 février.

Leia Tambem

Colby Minifie confirme les pouvoirs d’Ashley Barrett dans la cinquième saison de The Boys

Un nouveau test de batterie place le Galaxy S26 Ultra devant l’iPhone 17 Pro Max dans le classement mondial

Naples x Milan en Serie A avec des compositions confirmées et où regarder en direct

La société a déclaré que le problème avait été résolu et que des mesures correctives étaient déjà en cours avant la divulgation publique. Une porte-parole a expliqué que la vulnérabilité impliquait la validation des autorisations sur le backend.

Azdoufal a noté que certains problèmes mineurs persistaient au départ, comme l’accès aux flux vidéo sans code PIN de sécurité. DJI a promis d’aborder ces points supplémentaires dans les futures mises à jour.

Risques pour les utilisateurs d’appareils intelligents

Les robots aspirateurs équipés de caméras et de microphones représentent des cibles potentielles dans les réseaux domestiques connectés. Un Acesso non autorisé peut exposer les routines quotidiennes, l’aménagement de la maison et les conversations privées. Les Casos précédents avec d’autres marques ont montré des abus similaires.

L’incident met en évidence la nécessité d’une authentification stricte dans les protocoles IoT. Tokens doit être limité par appareil et par abonnements limités. Fabricantes doit tester les sujets génériques et les validations d’autorisations.

Les utilisateurs doivent maintenir à jour le micrologiciel et segmenter les réseaux pour les appareils intelligents. Le simple Medidas réduit l’exposition dans les écosystèmes connectés.

Impact sur le marché des robots domestiques

Le DJI Romo est entré dans le segment des robots aspirateurs avec des fonctionnalités avancées de cartographie et de caméra. L’échec s’est produit peu de temps après le lancement mondial. Isso peut affecter la confiance dans les produits de la marque, connue pour ses drones.

Les entreprises du secteur sont confrontées à une pression croissante en matière de sécurité. Incidentes indique que la commodité de la connectivité nécessite une surveillance rigoureuse. Cette affaire sert d’avertissement à l’ensemble du secteur national de l’IoT.

Azdoufal a partagé son code pour le contrôle de la manette de jeu après les correctifs. Ele a souligné qu’elle n’avait pas exploré les données et a immédiatement signalé le problème.