Dans un tournant fascinant, Sammy Azdoufal, un ingénieur logiciel, a découvert une vulnérabilité majeure dans l’infrastructure de cloud de DJI, affectant potentiellement 7 000 aspirateurs robotiques ROMO. Pour son effort, DJI lui a promis une récompense impressionnante de 30 000 dollars (environ 28 000 euros).
Un ingénieur logiciel a découvert une vulnérabilité majeure dans l’infrastructure cloud de DJI, qui aurait pu exposer des milliers de dispositifs de robot aspirateur. En retour de sa découverte, la société lui a promis une récompense de 30 000 $ (environ 28 000 €).
Cette découverte a été d’abord rapportée par The Verge, qui a mis en lumière une faille d’autorisation dans le système qui fait fonctionner les aspirateurs robots ROMO de DJI. Ce problème aurait permis d’accéder à une flotte d’environ 7 000 appareils répartis sur 24 pays. Ces appareils ne se contentaient pas de nettoyer les sols. Ils étaient également équipés de caméras, de microphones et de capteurs de cartographie, conçus pour les aider à naviguer dans les maisons, rendant les implications de cette vulnérabilité particulièrement sensibles.
Bien que DJI ait précisé que le problème avait déjà été résolu et qu’aucune donnée utilisateur n’avait été semblent détournée, l’incident a suscité de nouvelles discussions sur la sécurité des appareils connectés à domicile.
Un simple essai devenu une découverte majeure
Tout a commencé avec ce qui semblait être un essai inoffensif. L’ingénieur Sammy Azdoufal souhaitait contrôler son aspirateur robot DJI ROMO à l’aide d’une manette de PlayStation 5 au lieu de l’application standard sur smartphone. Pour ce faire, il a commencé à développer une interface de contrôleur personnalisée pour communiquer avec les systèmes cloud de DJI.
Tout comme pour de nombreux appareils connectés, le robot aspirateur vérifie la propriété à l’aide d’un jeton de sécurité qui authentifie les commandes envoyées par l’appareil de l’utilisateur. Afin d’extraire ce jeton et de comprendre comment fonctionnait l’autorisation, Azdoufal a commencé à reverse-engineering le processus utilisé par le backend cloud de DJI. Il a rapporté avoir utilisé un outil de codage AI pour analyser le système.
Ce qu’il a découvert l’a étonné. Plutôt que d’accorder l’accès uniquement à son propre aspirateur, le processus de validation du backend offrait des permissions beaucoup plus larges. Le système avait effectivement ouvert une porte à des milliers d’appareils connectés à la même infrastructure cloud.
Selon le rapport, cette faille permettait à Azdoufal de voir des données liées à environ 7 000 aspirateurs DJI ROMO à travers le monde. Comme les aspirateurs robots intègrent des caméras et des microphones, la vulnérabilité permettait également un accès potentiel aux flux vidéo et audio en direct.
De plus, le système stockait des informations de cartographie créées par les aspirateurs lors du nettoyage des maisons. Cela signifiait qu’Azdoufal pouvait générer des plans d’étage en 2D des maisons où ces dispositifs fonctionnaient.
Le backend a également exposé les adresses IP associées aux maisons, ce qui pourrait éventuellement révéler des localisations géographiques approximatives.
Azdoufal a souligné qu’il n’avait pas exploité cette vulnérabilité à des fins malveillantes. Au contraire, il a documenté ses découvertes et en a informé DJI de manière responsable. D’après les rapports, il a aussi alerté des journalistes, ce qui a entraîné un examen approfondi et des démarches vers DJI.
DJI affirme que le problème était déjà en cours d’examen
DJI a proposé une chronologie légèrement différente concernant la découverte et la résolution de la vulnérabilité. Dans un communiqué, la société a indiqué qu’elle avait identifié un problème de validation du backend lié à l’application DJI Home fin janvier lors d’une revue interne de sécurité habituelle. Ce problème touchait le nouveau produit d’aspirateur robot ROMO ainsi que certaines stations d’alimentation DJI.
DJI précise que deux chercheurs en sécurité indépendants ont ensuite signalé la même vulnérabilité par le biais du programme de récompense pour bugs de l’entreprise, contribuant ainsi au processus de remédiation.
La société a déclaré que des mises à jour avaient été déployées pour corriger le problème. « La technologie n’est pas statique; elle évolue constamment, et la sécurité doit évoluer avec elle« , a affirmé DJI.
Selon DJI, son enquête a révélé que l’activité inhabituelle liée à la vulnérabilité était principalement le résultat de tests réalisés par des chercheurs en sécurité, et non d’une exploitation malveillante. « Nous n’avons pas trouvé de preuve que les données utilisateur aient été détournées« , a ajouté la société.
Malgré la correction de la vulnérabilité, l’histoire a gagné en notoriété après qu’Azdoufal a partagé un courriel de DJI indiquant que la société lui verserait 30 000 $ pour l’une des découvertes qu’il avait signalées. DJI a confirmé auprès des médias qu’elle avait indemnisé un chercheur non nommé, même si la société n’a pas précisé quelle découverte particulière méritait cette récompense. Ce manque de clarté a suscité des préoccupations autour de la récompense et de son intégration dans le programme de récompense pour bugs de DJI.
Les programmes de récompense pour bugs sont couramment utilisés dans l’industrie technologique pour encourager les chercheurs indépendants à divulguer de manière responsable les vulnérabilités plutôt que de les exploiter. Les entreprises récompensent ensuite les chercheurs en fonction de la gravité du bug.
DJI précise que son programme est actif depuis près d’une décennie. « Depuis le lancement de notre programme de récompense pour bugs il y a près d’une décennie, plus de 300 chercheurs en sécurité ont soumis des rapports concernant des vulnérabilités potentielles sur les plateformes DJI« , a déclaré la société.
La sécurité reste une priorité pour DJI
DJI a souligné qu’elle a investi massivement dans le renforcement de la sécurité de son écosystème au fil des ans. La société maintient une équipe de sécurité produit dédiée, effectue régulièrement des revues architecturales et de code et réalise des tests de pénétration de bout en bout pour identifier les vulnérabilités potentielles. Elle suit également des pratiques de divulgation coordonnées et déploie des correctifs automatiques lorsque nécessaire.
La gamme de produits ROMO elle-même, note DJI, a déjà reçu plusieurs certifications de sécurité, y compris ETSI EN 303 645, les exigences EU RED, et la certification de sécurité IoT UL Solutions Diamond.
La société a ajouté qu’elle prévoyait de continuer à soumettre ses produits, y compris ROMO et l’application DJI Home, à des audits de sécurité par des tiers indépendants. « Nos clients font confiance à notre technologie, et nous ne prenons pas cette responsabilité à la légère« , a déclaré DJI.
Pour les consommateurs, cet épisode met en lumière une réalité plus large concernant la maison intelligente moderne. Des appareils comme les aspirateurs robots, les caméras de sécurité et les enceintes intelligentes dépendent fortement de l’infrastructure cloud, et toute faiblesse dans cette infrastructure peut avoir des conséquences étendues. Dans ce cas, la vulnérabilité semble avoir été détectée avant qu’une utilisation abusive généralisée n’ait lieu. Néanmoins, cette découverte rappelle pourquoi les entreprises investissent dans des programmes de récompense pour bugs et des partenariats avec des chercheurs en sécurité, ainsi que l’importance de la divulgation responsable pour garantir la sécurité de la technologie connectée pour tous.
Mon avis :
La découverte par Sammy Azdoufal d’une vulnérabilité dans l’infrastructure cloud de DJI, exposant potentiellement 7 000 robots aspirateurs, souligne la fragilité des appareils connectés. Bien que la société ait résolu le problème et annoncé un prix de 30 000 $ (environ 28 500 €), cela rappelle l’importance des programmes de récompenses pour la sécurité et de la responsabilité dans la divulgation des failles.
Les questions fréquentes
Qu’est-ce que la vulnérabilité découverte dans les aspirateurs robots DJI ?
Une vulnérabilité majeure a été identifiée dans l’infrastructure cloud de DJI, qui aurait pu exposer environ 7 000 aspirateurs robots ROMO à travers 24 pays. Cette faille permettait d’accéder non seulement aux appareils, mais également aux données sensibles, telles que les flux audio et vidéo, ainsi que des plans d’étage en 2D des maisons où ces appareils étaient utilisés.
Quel a été le processus de découverte de cette vulnérabilité ?
Le logiciel ingénieur Sammy Azdoufal a commencé par expérimenter un moyen de contrôler son aspirateur robot DJI ROMO avec une manette PlayStation 5. En créant une interface de contrôleur personnalisé, il a découvert que le processus de validation backend permettait un accès non limité aux appareils connectés au même système cloud, révélant ainsi la vulnérabilité.
DJI a-t-il reconnu et corrigé le problème ?
Oui, DJI a affirmé que cette vulnérabilité était déjà sous révision au moment où Azdoufal a fait sa découverte. La société a publié des mises à jour pour corriger le problème et a souligné que, selon leurs enquêtes, aucune donnée utilisateur n’avait été exploitée malicieusement.
Quel genre de récompense a été offerte au découvreur de la vulnérabilité ?
DJI a promis une récompense de 30 000 dollars (environ 28 000 euros) à Sammy Azdoufal pour sa découverte. Cela souligne l’importance des programmes de récompense pour les bugs, incitant les chercheurs à signaler les vulnérabilités de manière responsable plutôt que de les exploiter. DJI a confirmé qu’ils avaient compensé un chercheur sans spécifier quel constat avait mené à cette récompense.
