DJI Romo, une faille expose 7 000 foyers à la surveillance à distance

Un ingénieur français découvre accidentellement une faille qui lui donne accès aux flux vidéo et plans d'appartements de milliers d'aspirateurs robots dans 24 pays. Les fabricants de domotique naviguent encore à vue en matière de sécurité.

L'intelligence artificielle démocratise la découverte de failles critiques

Sammy Azdoufal souhaitait simplement piloter son aspirateur robot DJI Romo avec une manette PlayStation 5. Un projet récréatif qui s'est transformé en cauchemar pour le fabricant chinois. En utilisant Claude Code, un assistant d'IA de programmation, l'ingénieur a rapidement déchiffré les protocoles de communication entre son appareil et les serveurs du constructeur. Cette démarche, qui aurait autrefois nécessité des compétences pointues en rétro-ingénierie, s'effectue désormais en quelques heures grâce aux outils d'IA générative.

Selon Fortune, le problème est évident. N'importe qui peut désormais faire ça en un après-midi. Les barrières d'entrée pour identifier des vulnérabilités majeures n'ont jamais été aussi basses. Là où des experts en cybersécurité devaient consacrer des semaines à analyser le trafic réseau, un passionné équipé d'un outil d'IA peut désormais percer les défenses d'un système en quelques sessions de travail.

Six mille sept cents appareils transformés en réseau de surveillance

La découverte d'Azdoufal dépasse largement le cadre anecdotique. Le token d'authentification extrait de son propre aspirateur lui a accordé un accès administrateur sur 6 700 dispositifs déployés dans 24 pays. Les données exposées ne se limitaient pas aux numéros de série ou aux niveaux de batterie. L'ingénieur pouvait consulter les plans détaillés des logements, activer les microphones intégrés et visionner en temps réel les flux des caméras de navigation.

L'architecture serveur de DJI stockait les informations sensibles en clair, sans chiffrement robuste. Le protocole MQTT aurait dû valider l'identité de chaque requête et limiter l'accès aux seules données propriétaires. Au lieu de cela, le système a traité Azdoufal comme le propriétaire légitime de l'ensemble du parc d'appareils.

Une industrie en proie à des carences systémiques

DJI rejoint une liste déjà longue. En 2024, des pirates ont pris le contrôle d'aspirateurs Ecovacs pour hurler des insultes à leurs propriétaires. Tom's Hardware mentionne également des vulnérabilités similaires identifiées chez Dreame et Narwal en 2025, permettant l'accès aux caméras en direct.

On voit le même schéma partout. Selon le rapport Bitdefender et Netgear 2025, les foyers connectés subissent en moyenne 29 tentatives d'attaque quotidiennes. Entre janvier et octobre 2025, 13,6 milliards d'attaques ont été détectées contre des appareils IoT grand public. Les téléviseurs connectés, caméras IP et dispositifs de streaming concentrent plus de la moitié des vulnérabilités répertoriées.

La sécurité reste le parent pauvre d'une industrie obsédée par les cycles de commercialisation rapides. Les fabricants privilégient la mise sur le marché à la robustesse des implémentations. Les firmwares obsolètes, les mots de passe par défaut jamais modifiés et l'absence de chiffrement bout en bout demeurent la norme sur une majorité d'équipements vendus.

L'intelligence artificielle aggrave l'équation sécuritaire

L'IA ne fait qu'empirer les choses. Le rapport Thales 2026 sur les menaces informatiques révèle que 61 % des entreprises identifient désormais l'intelligence artificielle comme leur principal risque en matière de sécurité des données. Seuls 34 % des organisations savent précisément où résident leurs informations sensibles, tandis que 47 % des données cloud critiques demeurent non chiffrées.

DJI a déployé deux correctifs début février pour colmater la brèche, sans nécessiter d'intervention des utilisateurs. Le constructeur affirme avoir investi dans un système de chiffrement conforme aux standards industriels et maintenir un programme de primes aux bogues. Une réponse tardive qui n'efface pas la gravité de la faille initiale. Azdoufal assure que plusieurs vulnérabilités subsistent, notamment la possibilité de visionner les flux vidéo sans code PIN de sécurité.

Repenser la confiance accordée aux objets connectés

Au fond, la question est simple. On a mis des caméras et des micros dans les salons sans se poser la question de base : à qui fait-on confiance ? Les consommateurs déploient dans leur intimité des dispositifs équipés de capteurs sophistiqués, confiants dans la probité des fabricants. Les aspirateurs cartographient les espaces de vie avec une précision métrique, les enceintes vocales écoutent en permanence, les caméras de surveillance enregistrent les moments les plus privés. Chaque appareil constitue un point d'entrée potentiel pour des acteurs malveillants.

Les régulateurs commencent à saisir l'ampleur du problème. L'IoT Cybersecurity Improvement Act aux États-Unis impose désormais des standards minimaux pour les équipements gouvernementaux. Le Royaume-Uni a publié un Code de Pratique pour la sécurité IoT grand public, recommandant l'authentification forte et les mises à jour automatiques. Des initiatives louables, mais qui peinent à contraindre efficacement une industrie mondialisée.

La multiplication des objets connectés transforme les foyers en cibles de choix. Avec 21 à 24 milliards d'appareils IoT déployés mondialement en 2026 et un parc moyen de 22 dispositifs par habitation, la surface d'attaque ne cesse de s'étendre. Les fabricants doivent impérativement intégrer la sécurité dès la conception, plutôt que de la traiter comme une considération secondaire. Tant que les constructeurs continueront à sortir des appareils avant de les sécuriser, ce genre d'histoire se reproduira. L'affaire DJI Romo marquera-t-elle le tournant vers une prise de conscience collective, ou demeurera-t-elle un simple épisode dans la chronique d'une surveillance domestique devenue incontrôlable ?

Articles qui pourraient vous plaire :

• Honor attaque le marché premium avec la tablette Android la plus fine
• Samsung Galaxy S26, l'inflation premium qui défie Apple
  
• Microsoft intègre Sysmon dans Windows 11 et alerte sur Secure Boot
  
• YouTube Premium Lite enrichit son offre et fragilise sa grille tarifaire

À propos de l'auteur : Sandy Jasingh cumule 13 ans d’expérience dans le high-tech : 8 ans en magasin et 5 ans en conseil client chat. Cette double vue terrain/digital lui permet de tester et décrypter les innovations avec un seul objectif : vérifier leur utilité réelle au quotidien.
Sandy Jasingh