Publié le 24 février 2026 à 19h32. Un ingénieur logiciel a accidentellement pris le contrôle de près de 7 000 aspirateurs robots DJI Romo à travers le monde, révélant une faille de sécurité majeure dans ces appareils connectés.
Sammy Azdoufal, ingénieur logiciel et responsable de la stratégie IA pour une société de location de vacances, souhaitait simplement connecter son nouvel aspirateur robot DJI Romo à sa manette de jeu PS5, « parce que cela avait l’air amusant », a-t-il déclaré au site d’information technologique The Verge. Mais en utilisant l’assistant de codage IA Claude Code pour inverser le protocole de communication de l’appareil, il a découvert une vulnérabilité inattendue.
Au lieu de contrôler uniquement son propre aspirateur, l’application qu’il a développée a permis d’accéder aux données de près de 7 000 autres robots aspirateurs répartis dans 24 pays. Azdoufal pouvait visualiser les flux vidéo en direct de leurs caméras, écouter l’audio capté par leurs microphones et même générer des plans d’étage des maisons qu’ils nettoyaient. Il a pu localiser approximativement les appareils en utilisant leur adresse IP.
Selon The Verge, Azdoufal a démontré à un journaliste l’étendue de son accès en localisant un aspirateur Romo testé par la publication et en affichant en temps réel son activité de nettoyage, son niveau de batterie (80 %) et un plan de la maison où il se trouvait. Plus d’informations sur la démonstration sont disponibles sur The Verge.
La faille de sécurité résidait dans l’absence de contrôles d’accès au niveau des sujets dans le courtier de messages MQTT de DJI. Une fois authentifié avec un seul jeton d’appareil, il était possible d’accéder aux données de tous les autres appareils en texte clair. Il est important de noter que les stations d’alimentation portables DJI, qui utilisent la même infrastructure MQTT, étaient également vulnérables.
DJI a initialement affirmé que le problème avait été résolu, mais Azdoufal a soutenu que toutes les vulnérabilités n’avaient pas été corrigées. Suite à la publication du rapport de The Verge, DJI a contacté Popular Science pour affirmer que le problème avait été « résolu ».
Cet incident soulève des inquiétudes quant à la sécurité des appareils domestiques intelligents et à leur potentiel d’être compromis par des pirates. L’utilisation croissante d’outils de codage basés sur l’IA, comme Claude Code, pourrait rendre plus facile pour un plus grand nombre de personnes d’exploiter de telles vulnérabilités, réduisant ainsi la confiance dans la sécurité par l’obscurité.