Daniel Swenson, un avocat du Minnesota, a vécu une drôle d’expérience quand il a remarqué que son robot aspirateur Deebot X2 agissait de manière étrange. Après avoir entendu des bruits bizarres provenant du haut-parleur de l’appareil, il a vérifié l’application associée à l’aspirateur et a découvert qu’un étranger en avait pris le contrôle. « C’était comme un signal radio brouillé, avec des bouts de voix », raconte-t-il à ABC.
Une intrusion dans l’intimité des familles
Au début, il a cru à un simple bug et a réinitialisé son mot de passe. Mais peu de temps après, l’aspirateur s’est de nouveau activé, cette fois en diffusant des injures racistes, entendues clairement par sa famille ! « C’était répugnant, et j’avais l’impression qu’il s’agissait d’un jeune, peut-être un adolescent, qui s’amusait à passer d’un appareil à l’autre pour embêter les familles », explique-t-il. Choqué par ces agressions verbales, Daniel Swenson a éteint l’appareil et l’a rangé dans le garage, refusant de l’utiliser à nouveau.
L’incident aurait pu être encore plus grave. Le propriétaire se dit soulagé que les hackers aient choisi de faire du bruit, car cela lui a permis de réagir rapidement. Il craint ce qui aurait pu se passer si l’intrusion était restée discrète : « Ils auraient pu observer ma famille sans que nous nous en rendions compte. C’est terrifiant de penser à ce qu’ils auraient pu voir. »
Ce cas n’est pas isolé. D’autres propriétaires de robots aspirateurs Ecovacs ont rapporté des incidents similaires à travers les États-Unis. Certains ont décrit des scénarios où les appareils poursuivaient leurs animaux domestiques tout en diffusant des propos injurieux. Un autre utilisateur a été réveillé au milieu de la nuit par des insultes proférées par son aspirateur connecté.
Ces piratages sont le résultat de failles de sécurité connues depuis plusieurs mois. En décembre de l’année dernière, des chercheurs en cybersécurité avaient révélé des vulnérabilités critiques dans les systèmes de contrôle à distance des aspirateurs Ecovacs, notamment une faille au niveau du connecteur Bluetooth qui permet à des attaquants d’accéder aux appareils à plus de 100 mètres de distance.
Un autre problème concernait le code PIN censé protéger l’accès aux caméras des robots. Selon les chercheurs, ce code pouvait être facilement contourné, car il n’était vérifié que par l’application et non par le robot lui-même ou les serveurs. Malgré les avertissements des experts, Ecovacs n’aurait pas pris les mesures nécessaires pour remédier à cette faille de manière adéquate, ouvrant ainsi la voie à ces intrusions.
Dans une déclaration faite après ces incidents, Ecovacs a confirmé qu’une cyberattaque avait visé certains de ses appareils et que des comptes clients avaient été compromis via une attaque de type « credential stuffing » — un procédé où des pirates réutilisent des combinaisons d’identifiants volés lors de précédentes attaques. Toutefois, l’entreprise nie que ces incidents soient liés à une faille de sécurité dans ses systèmes.
Ecovacs a néanmoins promis de déployer une mise à jour de sécurité pour les robots de la série X2 le mois prochain, en assurant que les autres modèles ne sont pas concernés. En attendant, la société invite ses clients à renforcer leurs pratiques de sécurité en ligne, notamment en utilisant des mots de passe uniques et complexes.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
