Faille de sécurité sur les aspirateurs robots DJI Romo : 7000 appareils accessibles à distance

Une faille de sécurité majeure a été découverte sur les aspirateurs connectés de la marque chinoise DJI, permettant l'accès à des milliers de caméras à tra

Lucas Dupont

Tech & Digital Crypto Bourse

24 février 2026 à 12:13 3 min de lecture 5 vues

24 fev.

Une faille de sécurité majeure a été découverte sur les aspirateurs connectés de la marque chinoise DJI, permettant l'accès à des milliers de caméras à travers le monde. L'exploitation du système MQTT non sécurisé a permis le contrôle d'environ 7 000 appareils et l'espionnage de leurs données, sans pirater directement les serveurs de DJI. Suite au signalement, DJI a réagi rapidement en comblant la faille et en restreignant l'accès aux caméras, mais des préoccupations persistent quant à leur cybersécurité globale.

Découverte d'une faille majeure

Un utilisateur, Sammy Azdoufal, a fait une découverte inattendue en mettant au jour cette faille sur les aspirateurs DJI Romo. En manipulant son aspirateur connecté, il a pu accéder à des données provenant de milliers d'appareils à travers le monde. Cette révélation a suscité un intérêt croissant, notamment après la publication d'articles dans des médias comme The Verge et Popular Science.

Exploitation de la faille

Sammy Azdoufal a réussi à exploiter la gestion des permissions backend chez DJI, permettant l'accès à environ 7 000 aspirateurs Romo dispersés mondialement. En utilisant une application basée sur l'IA Claude Code, il a pu repérer tous les appareils connectés via le système MQTT utilisé par les aspirateurs DJI.

Résultats impressionnants

Lors d'un test, Azdoufal a pu collecter de nombreuses données sur un aspirateur distant, y compris des détails sur la pièce nettoyée, le niveau de charge, des plans 2D précis de l'appartement et même une localisation approximative grâce à l'adresse IP. En seulement neuf minutes, il avait recensé 6 700 appareils dans 24 pays et obtenu plus de 100 000 messages. En ouvrant le flux vidéo en direct de son propre aspirateur, il a contourner les mesures de sécurité.

Réaction de DJI et perspectives

Après le signalement, DJI a pris des mesures en restreignant l'accès aux caméras et en colmatant la faille de scan généralisé. Cependant, les préoccupations persistent quant à la cybersécurité de l'entreprise. DJI a reconnu un problème de validation des autorisations côté serveur, mais a minimisé l'impact en affirmant que les accès non autorisés étaient rares. Cette affaire intervient dans un contexte où DJI fait face à des défis liés à la sécurité de ses produits, notamment suite à l'interdiction de ses drones aux États-Unis.

Conclusion

Cette affaire met en lumière les enjeux de cybersécurité auxquels les objets connectés peuvent être confrontés. Alors que DJI a réagi en colmatant la faille, la vigilance reste de mise quant à la protection des données personnelles et à la sécurité des utilisateurs. Les prochaines étapes consisteront à renforcer les mesures de sécurité pour éviter de telles intrusions à l'avenir.