Contact notre mission

Un développeur pirate des milliers d’aspirateurs DJI Romo : quand la technologie domestique devient vulnérable

02/24/2026
by Julien Alexandre

En plein cœur de la domotique, un incident secoue la confiance portée aux technologies domestiques intelligentes. En tentant simplement d’utiliser sa manette PS5 pour manipuler son aspirateur robot DJI Romo, un développeur espagnol a découvert une faille ouverte qui lui a permis de prendre le contrôle à distance de plus de 7 000 aspirateurs à travers 24 pays. Cette histoire donne à réfléchir sur un point souvent négligé : ces assistants connectés, censés nous faciliter la vie, peuvent aussi exposer nos foyers à des risques de cybersécurité majeurs. Piloter son propre robot devient alors le prélude d’un accès non autorisé à des caméras, micros, et même aux plans détaillés de nombreuses maisons.

En bref :

  • 🎯 7000 aspirateurs DJI Romo ont été contrôlés à distance via une faille sur un broker MQTT mal sécurisé.
  • 📱 Une simple manette DualSense PS5 a servi au déclenchement du piratage, sans exploitation complexe.
  • 🔍 Flux vidéo, audio et plans 2D des domiciles étaient accessibles en clair pour le pirate.
  • 🔒 DJI a corrigé la première faille mais un deuxième bypass du PIN caméra reste actif.
  • ⚠️ Les batteries portables DJI Power étaient aussi accessibles via la même architecture.
  • 👀 Ce cas illustre une vulnérabilité grave dans la sécurité IoT des robots domestiques connectés.

Comment un jeu a révélé une faille majeure dans les aspirateurs DJI Romo

Les objets connectés ont envahi nos maisons, parfois sans que les risques ne soient pleinement mesurés. Cette affaire part d’une idée simple et ludique : piloter un aspirateur robot DJI Romo avec une manette PlayStation 5. Sammy Azdoufal, ingénieur et expert en intelligence artificielle chez Emerald Stay, a voulu combiner ces deux univers.

Après avoir tenté une connexion Bluetooth entre la manette DualSense et son Romo, il a poursuivi en décompilant l’application mobile Android de DJI via un outil nommé Claude Code, dans l’objectif d’étudier le protocole MQTT utilisé pour la communication entre les appareils et leur serveur cloud. Loin de se douter de l’ampleur de ce qu’il allait déclencher, il a exploité la façon dont DJI gérait les autorisations, ou plutôt comment ces dernières manquaient dans le broker MQTT.

Lire  LeafKVM - Le boîtier compact pour une maîtrise totale de toutes vos machines

En effet, la sécurité repose sur un token TLS censé authentifier chaque utilisateur et appareil, mais le broker n’effectuait aucun contrôle d’accès sur les topics MQTT. Ces topics sont comme des adresses de messagerie qui dirigent les flux entre les différents objets et services. Ainsi, un seul token valide suffisait pour intercepter et manipuler les flux de toutes les machines connectées.

L’exercice était loin d’être une attaque sophistiquée. Juste un token, un client MQTT, et l’accès aux vidéos captées par la caméra embarquée, les microphones, les plans en deux dimensions des appartements et jusqu’aux informations techniques des batteries rechargeables DJI Power. La simplicité de cette faille est à la fois stupéfiante et alarmante.

Pour illustrer la gravité, un journaliste a envoyé son numéro de série à Azdoufal. Déjà depuis Barcelone, ce dernier a pu suivre en temps réel l’activité du robot dans le salon du journaliste, vérifier la batterie restante et générer un plan précis de son appartement. Cette intrusion révèle à quel point les systèmes derrière la domotique peuvent devenir une porte ouverte si la sécurité n’est pas strictement appliquée.

Les conséquences en chaîne d’une vulnérabilité dans la sécurité IoT des robots domestiques

Le piratage des aspirateurs DJI Romo dépasse le simple cadre d’un gadget détourné. Il touche un domaine sensible où la protection des données personnelles et la sécurité physique d’un domicile se croisent.

Les robots domestiques, en plus d’effectuer un travail ménager, collectent continuellement des données visuelles et sonores. Imaginez que votre assistant ménager puisse ouvrir un canal vers votre vie privée, sans que vous ne le sachiez. Cette intrusion peut exposer :

  • 🏠 Des images en direct de votre intérieur, filmées à votre insu.
  • 🗣️ Des conversations privées captées par les microphones.
  • 🗺️ Des plans détaillés de votre domicile, révélant la disposition exacte des pièces.
  • 🔌 Des informations sensibles sur les appareils connectés et leur état, comme les batteries DJI Power.
Lire  Chaise de bureau en rotation ? Découvrez le tapis indispensable pour votre confort et votre sol !

Mettre en lumière cette faille, c’est aussi pointer du doigt les manques dans la cybersécurité des objets connectés, domaine où les attaques informatiques prennent de plus en plus d’ampleur. La montée en puissance du secteur IoT combine des bénéfices évidents tout en exposant de nouvelles vulnérabilités.

Le cas des drones DJI, très populaires, a souvent été évoqué dans les problèmes de sécurité, mais le champ des robots domestiques représente une réalité qui touche directement le grand public. L’enjeu est d’autant plus grand que ces robots interviennent dans des tâches quotidiennes, ce qui banalise leur présence sans forcément alerter sur les risques derrière.

Au-delà de la portée immédiate, la faille dans le firmware de Romo laisse supposer que d’autres systèmes domotiques pourraient être menacés si aucune rigueur n’est intégrée dans la validation d’accès aux périphériques connectés sur le cloud.

Les bonnes pratiques de cybersécurité à adopter face aux failles des robots aspirateurs

Que retenir de cet incident pour les utilisateurs et les professionnels du secteur ? Voici quelques recommandations concrètes qui aident à limiter les risques :

  1. 🔐 Mettre à jour régulièrement le firmware des appareils afin de bénéficier des correctifs publiés par le constructeur.
  2. 🧩 Utiliser des mots de passe robustes et, si disponible, activer une authentification à plusieurs facteurs.
  3. 🔄 Surveiller les permissions attribuées aux applications mobiles contrôlant les robots.
  4. 🔎 Limiter l’accès au réseau domestique des objets connectés avec des VLAN ou des sous-réseaux isolés.
  5. ⚙️ Éviter les ponts non sécurisés et rester vigilant à toute tentative d’interaction inhabituelle entre périphériques.

Pour les fabricants, l’étude de cette faille doit être une leçon pour renforcer la sécurité dès la conception (secure by design). Par exemple, une vraie validation des droits utilisateurs sur les topics MQTT et une meilleure gestion des tokens sont indispensables. La sécurité IoT ne peut être une opération à la marge, elle exige rigueur et anticipation.

Lire  Textarea : l’éditeur de texte qui s’épanouit au cœur de son URL

Relever ce défi demande aussi une sensibilisation accrue des consommateurs sur les risques numériques de la maison connectée. Trop souvent, les protections sont négligées jusqu’au jour où un incident éclate. Cette affaire montre en tout cas avec quelle facilité un développeur, donc quelqu’un qui connaît le système de l’intérieur, peut prendre le contrôle d’appareils supposés autonomes et sécurisés.

Comment DJI a réagi face à la découverte de ces failles et quel impact sur le marché

Face à cette découverte publique, DJI a connu une courbe de réactions classique dans l’industrie tech : déni initial, suivi d’un patch rapide. Début février, la première faille du broker MQTT a été corrigée. Néanmoins, un deuxième contournement du verrouillage par PIN caméra n’a pas encore reçu de correctif complet, ce qui maintient une porte ouverte aux attaques.

Cette séquence démontre à quel point les vulnérabilités dans les robots domestiques peuvent affecter la confiance des consommateurs. DJI, acteur majeur du marché des drones et de la robotique, voit son image ébranlée par ce type de faille exposant à la fois des données personnelles et des risques d’utilisation malveillante.

La surveillance attentive des mises à jour logicielles devient donc un réflexe indispensable pour les utilisateurs. De plus, cette affaire ouvre le débat sur la nécessité d’une régulation renforcée axée sur la protection des données dans la domotique.

On imagine aisément que d’autres acteurs vont devoir anticiper et réagir face à des problématiques similaires. L’essor constant de la domotique connectée oblige à repenser les normes de sécurité, avec des audits plus fréquents et des mesures strictes sur l’accès et le contrôle des robots domestiques.

L’analyse vidéo ci-dessus décrypte en détail la faille découverte et ses conséquences pour les utilisateurs de DJI Romo et plus largement pour la sécurité IoT.

Cette seconde vidéo offre une perspective plus globale sur les attaques informatiques dans le monde des objets connectés, un secteur en pleine croissance mais sensible aux abus.

a propos de l'auteur
Julien Alexandre
Julien Alexandre est entrepreneur digital depuis plus de 10 ans. Après avoir lancé et revendu plusieurs sites web rentables (affiliation, contenus SEO, e-commerce), il accompagne aujourd’hui les porteurs de projets, indépendants et créateurs de business en ligne. Spécialisé dans le SEO, la monétisation de sites, l’automatisation et les formations en ligne, il partage sur Entreprendre sur le Web des conseils concrets, des analyses de business models et des retours d’expérience sans bullshit, orientés résultats et long terme.

osxphotos : Automatisez la sauvegarde de votre photothèque Apple en toute simplicité

WorldMonitor : un tableau de bord en temps réel pour suivre le chaos mondial

Laisser un commentaire