Publié le 18 février 2026 à 22h00. Des milliers d’aspirateurs robots DJI Romo ont été compromis suite à une faille de sécurité découverte par un passionné, révélant des vulnérabilités inquiétantes concernant la protection de la vie privée dans les foyers connectés.
- Un développeur a accidentellement obtenu un accès à plus de 7 000 aspirateurs robots DJI Romo à travers le monde.
- Il a pu contrôler ces appareils à distance, visionner les flux vidéo de leurs caméras et écouter les conversations captées par leurs microphones.
- DJI a initialement affirmé avoir corrigé la faille, mais cette affirmation s’est avérée fausse.
La sécurité des appareils connectés est de nouveau remise en question après la découverte d’une vulnérabilité majeure affectant les aspirateurs robots DJI Romo. Sammy Azdoufal, un développeur amateur, a mis au jour cette faille en tentant de contrôler son propre aspirateur à l’aide d’une manette PlayStation 5. Son initiative, qui visait initialement à un simple divertissement, a eu des conséquences inattendues et potentiellement graves.
Comme le rapporte The Verge, Azdoufal a utilisé l’outil d’intelligence artificielle Claude Code pour analyser les protocoles de communication de l’aspirateur. Au lieu de simplement contrôler son propre appareil, son application s’est connectée aux serveurs de DJI et a donné accès à des données provenant d’environ 7 000 autres aspirateurs inscrits dans le monde entier.
Azdoufal a rapidement réalisé qu’il pouvait non seulement contrôler à distance ces appareils, mais aussi accéder à leurs flux vidéo en direct et écouter l’audio capté par leurs microphones. Il a également pu cartographier les intérieurs des habitations, obtenant ainsi des plans précis des foyers concernés. En seulement neuf minutes, son outil a enregistré 6 700 robots dans 24 pays et collecté plus de 100 000 messages.
Les éditeurs de The Verge ont vérifié les affirmations d’Azdoufal en soumettant le numéro de série à 14 chiffres d’un aspirateur Romo. Azdoufal a pu alors identifier que l’appareil était en train de nettoyer le salon et qu’il disposait d’une autonomie de batterie de 80 %. Il a généré un plan précis de la maison d’un éditeur en quelques minutes, simplement en saisissant des chiffres sur un ordinateur portable.
« Je n’ai enfreint aucune règle, je n’ai rien contourné, je n’ai pas craqué ni utilisé la force brute »,
Sammy Azdoufal, développeur
Selon Azdoufal, il n’a eu besoin d’aucune technique de piratage sophistiquée pour accéder à ces données. Il a simplement extrait un jeton privé de son propre aspirateur, et les serveurs de DJI ont automatiquement mis à sa disposition les informations de milliers d’autres utilisateurs.
Lorsque The Verge a contacté DJI, l’entreprise a initialement déclaré avoir corrigé la vulnérabilité la semaine précédente. Cependant, cette déclaration s’est avérée inexacte, car Azdoufal a pu démontrer son accès à des milliers d’aspirateurs, y compris celui utilisé pour le test de The Verge, lors d’une démonstration en direct réalisée une demi-heure après l’annonce de DJI. Ce n’est que le lendemain que DJI a finalement corrigé la faille.
DJI a finalement reconnu l’existence d’un « problème de validation des autorisations sur le backend » qui permettait un accès non autorisé aux flux vidéo. L’entreprise affirme que les données sont cryptées à l’aide du protocole TLS, mais, comme le soulignent Azdoufal et le chercheur en sécurité Kevin Finisterre, TLS ne protège que la transmission des données, et non leur contenu une fois qu’elles se trouvent sur le serveur.
Cette affaire n’est pas un cas isolé. En 2024, des hackers avaient pris le contrôle d’aspirateurs Ecovacs, les utilisant pour harceler des animaux et proférer des insultes racistes. Plus récemment, les autorités sud-coréennes ont identifié des vulnérabilités dans les modèles Dreame X50 Ultra, Ecovacs et Narwal, permettant l’accès aux caméras. Les aspirateurs des marques Samsung, LG et Roborock ont, en revanche, résisté aux tests.
L’incident impliquant DJI Romo relance le débat sur la nécessité d’équiper les aspirateurs robots de caméras et de microphones. Azdoufal lui-même s’interroge :
« C’est tellement bizarre d’avoir un micro sur un foutu aspirateur. »
Malgré les risques, il se réjouit d’avoir enfin réussi à contrôler son aspirateur avec une manette PlayStation.
Faites-vous confiance aux robots aspirateurs équipés de caméras ?