● Numerama Cyber 📅 24/02/2026 à 12:13

👤 Amine Baba Aissa

🏷️ Tags : olt rag rte

Lecture Zen Résumer l'article Un utilisateur a découvert par hasard une faille de sécurité majeure sur les aspirateurs connectés de DJI, permettant d'accéder à des milliers de caméras à travers le monde. L'exploitation du système MQTT non sécurisé a permis de contrôler environ 7 000 appareils et d'espionner leurs données sans pirater directement les serveurs de DJI. DJI a rapidement réagi après le signalement, colmatant la faille et restreignant l'accès aux caméras, mais les inquiétudes persistent quant à leur cybersécurité générale. Un utilisateur a découvert par hasard une faille de sécurité majeure sur les aspirateurs connectés de DJI, permettant d'accéder à des milliers de caméras à travers le monde. L'exploitation du système MQTT non sécurisé a permis de contrôler environ 7 000 appareils et d'espionner leurs données sans pirater directement les serveurs de DJI. DJI a rapidement réagi après le signalement, colmatant la faille et restreignant l'accès aux caméras, mais les inquiétudes persistent quant à leur cybersécurité générale. Recevez tous les soirs un résumé de l’actu importante avec Le Récap’ Ce 24 février 2026, une affaire retient l’attention sur X : celle de Sammy Azdoufal, un ingénieur ayant découvert involontairement une faille de sécurité affectant les aspirateurs de la marque chinoise DJI. C’est une histoire qui aura connu une exposition à retardement. Dans un article publié le 14 février 2026, le média américain The Verge revenait sur la découverte de Sammy Azdoufal qui, en bidouillant son aspirateur connecté, a pu accéder à des données de milliers d’appareils à travers le monde. Plus d’une semaine plus tard, l’écho est désormais mondial, comme en témoignent les innombrables tweets sur le sujet, notamment grâce à un nouvel article publié le 21 février dans Popular Science, magazine scientifique et technologique grand public américain. L’occasion pour Numerama de vous (re)faire découvrir cette trouvaille rocambolesque. Il y a quelques mois, nous vous racontions l’histoire de ce développeur « un peu paranoïaque » qui avait fini par démonter son aspirateur connecté pour l’empêcher d’envoyer des informations à l’autre bout du monde. Cette fois, le décor change : l’appareil n’est plus un iLife A11, mais un DJI Romo, et le protagoniste est davantage joueur que méfiant. Mais, une constante demeure. Les aspirateurs connectés peuvent parfois obéir à d’autres forces que celles de leur propriétaire. Votre vie privée doit rester privée. Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles. Sponsorisé Je protège ma vie privée simplement Dans un article retraçant cette découverte fortuite, Sammy Azdoufal explique qu’à la base, son projet consistait simplement à connecter son aspirateur à une manette de PlayStation. Une expérience qui lui a permis de découvrir une faille majeure dans la gestion des permissions backend chez DJI, lui donnant accès à environ 7 000 aspirateurs Romo dispersés un peu partout dans le monde. Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par YouTube. Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par YouTube avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus) En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires. Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies. J’accepte tout Gérer mes choix Près de 7000 aspirateurs en accès libre Pour décrypter les communications des aspirateurs DJI, Sammy Azdoufal s’est appuyé sur l’IA Claude Code et a créé une application capable de repérer tous les appareils connectés. Un fonctionnement parfaitement expliqué par nos confrères de Frandroid : pour interagir avec leurs serveurs, les aspirateurs DJI s’appuient sur un système appelé MQTT, pour Message Queuing Telemetry Transport. Le problème, c’est qu’une fois connecté avec son propre code d’accès (token), le serveur ne vérifie pas si vous êtes le propriétaire des données demandées. Et avec un seul numéro de série, Sammy était donc en mesure d’espionner tous les autres. Les résultats auxquels il est parvenu sont impressionnants. Lors d’un test présenté à The Verge, le bidouilleur a récolté de nombreuses données sur un aspirateur situé à des milliers de km : la pièce qu’il nettoyait, son niveau de charge, le plan 2D précis de l’appartement, et même sa position approximative via l’adresse IP. « Neuf minutes après le début de l’opération, l’ordinateur portable d’Azdoufal avait déjà répertorié 6 700 appareils DJI répartis dans 24 pays et collecté plus de 100 000 de leurs messages », raconte Sean Hollister, journaliste de The Verge et témoin du test. Il précise qu’en ajoutant les stations d’alimentation portables DJI Power, Azdoufal avait accès à plus de 10 000 appareils. DJI de nouveau dans la tourmente Le test est allé encore plus loin lorsque Sammy Azdoufal a ouvert le flux vidéo en direct de son propre DJI Romo, contournant complètement son code de sécurité. Ce qui frappe dans cette histoire, c’est que tous les tests ont été réalisés sans pirater les serveurs de DJI, comme le rappelle le principal protagoniste : « Je n’ai enfreint aucune règle, je n’ai utilisé aucune méthode de contournement, aucune force brute, rien de tout cela. » S’il devait y avoir une bonne nouvelle dans cette affaire : la veille du test, DJI avait déjà restreint l’accès aux caméras et microphones après le signalement de Sammy Azdoufal et du journaliste de The Verge. La faille de scan généralisé a, quant à elle, été colmatée le lendemain. Une réaction post-signalement qui ne devrait pas apaiser les inquiétudes sur la cybersécurité de DJI. L’entreprise a bien reconnu un « problème de validation des autorisations côté serveur » qui aurait théoriquement permis à des pirates d’accéder aux flux vidéo en direct, mais en a minimisé sa portée : « Bien que ce problème ait créé un risque théorique d’accès non autorisé à la vidéo en direct de l’appareil ROMO, notre enquête confirme que les occurrences réelles étaient extrêmement rares. Presque toutes les activités identifiées étaient liées à des chercheurs en sécurité indépendants testant leurs propres appareils à des fins de rapport, à quelques rares exceptions près. » Pour rappel, DJI tente de faire patte blanche après l’interdiction de ses drones aux États-Unis depuis fin 2025. Cette découverte ne plaide pas en sa faveur : « C’est vraiment bizarre d’avoir un microphone sur un aspirateur », relève Sammy Azdoufal. Quel est le meilleur Gestionnaire de mots de passe ? Quel gestionnaire de mots de passe est le meilleur en 2026 ? Le comparatif complet Retrouvez nos tests complets Toute l'actu tech en un clin d'œil Ajoutez Numerama à votre écran d'accueil et restez connectés au futur ! Installer Numerama Pour ne rien manquer de l’actualité, suivez Numerama sur Google ! Crédit photo de la une : Source : montage Numerama Signaler une erreur dans le texte Ne plus voir cette pub Ne plus voir cette pub Aspirateur aspirateur robot cybersécurité DJI faille IoT Données personnelles Maison connectée Objets connectés Tech

🔗 Lire l'article original 👁️ 1 lecture