L’essor des robots domestiques suscite de nouvelles inquiétudes en matière de cybersécurité. Des chercheurs ont identifié des failles alarmantes dans certains modèles d’aspirateurs et de tondeuses autonomes, permettant un accès incontrôlé à des informations personnelles. Les implications de ces découvertes soulèvent des questions cruciales sur la sécurité de nos appareils connectés.
Bref: Votre robot aspirateur pourrait bien être un espion secret. Des chercheurs ont mis au jour des vulnérabilités de sécurité Bluetooth effrayantes dans certains aspirateurs et tondeuses autonomes, permettant aux pirates de pirater les robots équipés de caméras. Ils peuvent alors s’octroyer une vue intime de votre maison.
Les chercheurs en sécurité Dennis Giese et Braelynn ont découvert une longue liste de vulnérabilités dans les robots de nettoyage automatique de la marque Ecovacs qui permettraient aux acteurs malveillants de détourner les robots via Bluetooth jusqu’à 138 mètres de distance. Une fois qu’ils ont pris le contrôle, ils peuvent se connecter via Internet pour un accès à distance complet. Les chercheurs présenteront leurs conclusions lors de la conférence sur le piratage Def Con de cette année.
« Leur sécurité était vraiment, vraiment, vraiment, vraiment mauvaise », a déclaré Giese à TechCrunch.
Selon le comuniqué, le cœur du problème réside dans une vulnérabilité qui permet aux pirates de se connecter à un robot Ecovacs via Bluetooth. Giese explique que les pirates peuvent envoyer une charge utile rapide qui se connecte instantanément à leur ordinateur. À partir de là, les acteurs malveillants peuvent ordonner au robot compromis de se reconnecter à un serveur via Internet. Ce serveur de commande et de contrôle accorde à l’attaquant des capacités de contrôle à distance sur le robot piraté.
À partir de ce point d’entrée, la chasse aux caméras, aux micros, aux identifiants Wi-Fi enregistrés, aux versions cartographiées et plus encore du robot est ouverte. Les robots piratés peuvent même propager l’attaque à d’autres appareils Ecovacs à proximité. Pire encore, il n’y a pas de voyant d’avertissement ou d’autre indicateur lorsque les caméras et les micros sont activés. Certains modèles disposent d’une alerte audio, mais les pirates peuvent facilement la désactiver.
Plus de 10 modèles d’aspirateurs et de tondeuses à gazon sont concernés, notamment les Ecovacs Deebot série 900, Ecovacs Deebot N8/T8 et Ecovacs Deebot X1.
Les chercheurs ont également découvert d’autres éléments douteux, comme des données d’utilisateur et des jetons d’authentification, qui restaient sur le cloud de l’entreprise même après la suppression d’un compte. Par conséquent, un pirate pourrait potentiellement accéder à un robot d’occasion pour espionner le nouveau propriétaire. Pour souligner encore davantage l’incompétence en matière de sécurité, les modèles de tondeuses à gazon ont un code PIN antivol stocké en texte clair sur l’appareil !
Giese et Braelynn ont tenté de signaler ces problèmes de manière responsable à Ecovacs, mais ils affirment n’avoir jamais eu de réponse de la part de l’entreprise. Au 9 août, les vulnérabilités étaient toujours ouvertes à l’exploitation.