Un programmeur informatique a découvert que son aspirateur robot dernier cri, acheté pour 300 dollars, communiquait secrètement avec son fabricant, envoyant une carte 3D détaillée de son domicile. La découverte a mené à un blocage à distance de l’appareil, le rendant inutilisable.
- L’aspirateur robot iLife A11 transmettait des données télémétriques et des journaux de bord à des serveurs situés à l’étranger.
- Après avoir bloqué cette transmission, l’appareil a cessé de fonctionner et a été déclaré hors garantie par le service après-vente.
- Une analyse approfondie a révélé une faille de sécurité majeure (Android Debug Bridge) et l’utilisation du logiciel open-source Google Cartographer pour cartographier l’intérieur de la maison.
Harishankar Narayanan, développeur et passionné d’électronique, s’est intéressé au fonctionnement interne de son aspirateur robot iLife A11, un modèle populaire sur le marché. Après environ un an d’utilisation, il a décidé de surveiller le trafic réseau de l’appareil, par précaution. Ses craintes se sont rapidement matérialisées lorsqu’il a constaté un flux continu de données envoyées vers des serveurs « à l’autre bout du monde ».
« Mon robot aspirateur communiquait constamment avec son fabricant, transmettant des journaux et des données télémétriques que je n’avais jamais consenti à partager », a témoigné Narayanan sur son blog. Tentant de stopper cette collecte de données, il a bloqué la transmission tout en autorisant le reste du trafic réseau, tel que les mises à jour logicielles. Quelques jours plus tard, l’aspirateur a cessé de fonctionner.
Le centre de réparation a d’abord assuré que l’appareil fonctionnait correctement avant de le renvoyer. Le même scénario s’est répété à plusieurs reprises, jusqu’à ce que le service après-vente refuse toute prise en charge, invoquant la fin de la période de garantie. L’aspirateur, initialement un objet connecté pratique, s’est transformé en un simple presse-papier.
Poussé par la curiosité, Narayanan a entrepris une rétro-ingénierie de l’appareil. Il a découvert que le programme Android Debug Bridge (ADB), utilisé pour le développement et le débogage d’applications, était « grand ouvert », offrant un accès root complet sans aucune manipulation complexe. Ce fut la porte d’entrée pour comprendre le fonctionnement interne de l’aspirateur.
Grâce à ce accès, il a pu se connecter au système de l’aspirateur depuis son ordinateur et a découvert une « plus grande surprise ». L’appareil utilisait Google Cartographer, un logiciel open-source conçu pour créer des cartes 3D de l’environnement, données qui étaient transmises à l’entreprise mère. Narayanan a également trouvé une ligne de code suspecte, datée du moment où son aspirateur avait cessé de fonctionner. Il soupçonne qu’un « ordre de mise à mort » a été émis à distance.
« J’ai annulé le changement de script et redémarré l’appareil », a-t-il expliqué. « Il a repris vie instantanément. Ils n’avaient pas simplement intégré une fonction de télécommande. Ils l’avaient utilisé pour désactiver définitivement mon appareil. » Pour le programmeur, il est clair que l’entreprise avait la capacité de désactiver à distance les appareils, et l’a utilisée contre lui pour stopper la collecte de données.
Narayanan met en garde : des dizaines d’autres aspirateurs intelligents pourraient fonctionner avec des systèmes similaires. Il souligne le risque que représentent les appareils connectés, dotés de caméras, de microphones et de capteurs, qui pourraient être « militarisés par une simple ligne de code ». Cette affaire rappelle que la technologie, même orientée vers le consommateur, peut avoir un coût caché, au-delà du prix d’achat.
Pour en savoir plus sur la surveillance réseau, consultez : Un nouveau système alarmant peut identifier les personnes à travers les murs grâce au signal Wi-Fi.