Sammy Azdoufal affirme qu’il n’avait pas l’intention de pirater tous les aspirateurs robots du monde. Il voulait simplement les piloter à distance avec une manette PS5 sur son tout nouvel aspirateur DJI Romo, explique-t-il au The Verge, parce que l’idée lui paraissait amusante.
Mais lorsque son application de télécommande bricolée s’est mise à communiquer avec les serveurs de DJI, ce n’était pas qu’un seul aspirateur qui répondait. Environ 7 000 robots, disséminés dans le monde entier, ont commencé à traiter Azdoufal comme leur chef.
Il pouvait les commander à distance, les regarder et les écouter via leurs flux vidéo en direct, me raconte-t-il, affirmant avoir testé cela avec un ami. Il pouvait les voir cartographier chaque pièce d’une maison, générant un plan d’étage 2D complet. Il pouvait utiliser n’importe quelle adresse IP d’un robot pour estimer son emplacement approximatif.
« Je me suis rendu compte que mon appareil n’était qu’un grain de sable dans un océan d’appareils », déclare-t-il.
Une illustration montrait une carte semblable à celle que j’avais vue, avec des robots et des paquets qui se pressaient. Légende de l’image: Image: Gonzague Dambricourt
Mardi, lorsque Azdoufal m’a montré l’étendue de son accès lors d’une démonstration en direct, je n’en revenais pas. Dix, des centaines, des milliers de robots se mettaient en marche, chacun envoyant à domicile des paquets de données MQTT toutes les trois secondes pour préciser leur numéro de série, les pièces qu’ils nettoyaient, ce qu’ils avaient vu, jusqu’où ils avaient voyagé, quand ils returnaient à leur chargeur et les obstacles rencontrés en chemin.
J’ai vu chacun de ces robots apparaître lentement sur une carte du monde. Neuf minutes après le début de notre échange, l’ordinateur portable d’Azdoufal avait déjà répertorié 6 700 dispositifs DJI dans 24 pays différents et accumulé plus de 100 000 messages. Si l’on ajoute les stations d’alimentation portables DJI Power, qui se connectent aussi à ces serveurs, Azdoufal avait accès à plus de 10 000 appareils.
Par ailleurs, Azdoufal a fait apparaître le flux vidéo en direct de son propre DJI Romo, en contournant totalement son code PIN de sécurité, puis il est entré dans son salon et a fait signe à la caméra pendant que je regardais. Il affirme aussi avoir partagé une version limitée en lecture seule de son application avec Gonzague Dambricourt, directeur technique d’une société de conseil informatique en France; Dambricourt me dit que l’application lui a permis de regarder à distance le flux vidéo — même avant d’avoir jumelé son appareil — sur son propre Romo.
Azdoufal affirme avoir pu activer tout cela sans pirater les serveurs de DJI. « Je n’enfreins aucune règle, je n’ai contourné aucune sécurité, je n’ai pas cracké, brute-forcé, quoi que ce soit », répète-t-il. Il dit qu’il s’est simplement extrait le jeton privé de son propre Romo — la clé qui dit aux serveurs de DJI que vous devez avoir accès à vos données — et ces serveurs lui ont aussi donné les données de milliers d’autres personnes. Il me montre qu’il peut accéder au serveur de pré-production de DJI, ainsi qu’aux serveurs en direct pour les États‑Unis, la Chine et l’UE. (Il affirme que son outil efface les données à chaque fermeture.)
Voici deux captures montrant les cartes des espaces de vie de Thomas. Au-dessus, ce que nous avons extrait des serveurs de DJI sans authentification; ci-dessous, ce que le propriétaire voit sur son tel.
Légende: Image: Gonzague Dambricourt (X)
Voici une vue plus complète du plan d’étage, fournie par Gonzague Dambricourt, qui a testé une version en lecture seule de l’outil d’Azdoufal. Légende: Image: Gonzague Dambricourt (X)
Par ailleurs, Azdoufal a extrait le flux vidéo en direct de son propre Romo, contournant le PIN, puis s’est promené dans son salon en faisant un signe à la caméra pendant que je regardais. Il affirme aussi avoir partagé une version en lecture seule de son outil avec Dambricourt, le CTO d’une société de services informatiques française; Dambricourt affirme que l’appli lui a permis de regarder à distance le flux caméra de son propre Romo avant même d’avoir procédé au jumelage.
Azdoufal assure que tout ceci a été possible sans « pirater » les serveurs DJI, et que tout ce qu’il a fait n’a pas violé les règles. « Oui, je ne suis pas les règles, mais les gens restent fidèles au programme bug bounty pour l’argent. Putain, je m’en fous, je veux juste que ce soit réparé », affirme-t-il. « Suivre les règles jusqu’au bout aurait probablement été une porte ouverte à ce que cette brèche dure bien plus longtemps, je pense. »
Il ne croit pas que DJI ait réellement découvert ces vulnérabilités par elle-même en janvier, et il est irrité que l’entreprise ait répondu de manière robotique par messages privés sur X plutôt que par des courriels.
Pourtant, il se dit heureux d’un point: il peut bel et bien contrôler son Romo avec une manette de PlayStation ou Xbox.
Note du 17 février: ajout que DJI s’est engagé à traiter l’autre vulnérabilité dans les semaines à venir.
En suivant ce récit, on peut suivre les implications d’un tel accès. Si des personnes mal intentionnées avaient l’opportunité d’intervenir, les risques pour la vie privée et la sécurité domestique seraient considérables. Une plateforme qui peut exposer des données sensibles sur le domicile d’un utilisateur, ou donner accès à une caméra et à des flux audio, soulève des questions sur les limites des autorisations, les mécanismes de contrôle d’accès et la sécurité des données stockées ou transmises vers des serveurs externes.
DJI, de son côté, a publié une série d’explications et de mises à jour en réponse à ces révélations. Dans un nouveau communiqué transmis à The Verge par sa porte-parole Daisy Kong, l’entreprise admet « un problème de validation des permissions côté back-end » qui aurait théoriquement permis à des personnes non autorisées de voir le flux vidéo en direct des robots ROMO, et elle reconnaît n’avoir pleinement corrigé le problème que lorsque les informations ont été rendues publiques.
Voici l’intégralité de cette déclaration:
DJI a identifié une vulnérabilité affectant DJI Home lors d’un examen interne à la fin janvier et a immédiatement lancé les mesures correctives. Le problème a été résolu par le biais de deux mises à jour, avec un premier correctif déployé le 8 février et une seconde mise à jour finalisée le 10 février. La correction a été déployée automatiquement, et aucune action utilisateur n’est requise.
La vulnérabilité impliquait un problème de validation des permissions côté backend affectant la communication MQTT entre l’appareil et le serveur. Bien que ce problème ait créé un potentiel théorique d’accès non autorisé à une vidéo en direct des dispositifs ROMO, notre enquête confirme que les occurrences réelles étaient extrêmement rares. Presque toutes les activités identifiées provenaient de chercheurs en sécurité indépendants testant leurs propres appareils à des fins de signalement, avec seulement quelques exceptions potentielles.
Le premier correctif corrigeait cette vulnérabilité, mais il n’avait pas été déployé universellement sur tous les nœuds de service. Le second correctif a réactivé et redémarré les nœuds de service restants. Cela est désormais totalement résolu, et il n’y a aucune preuve d’un impact plus large. Ce n’était pas un problème de chiffrement de transmission. Les communications appareil ROMO–serveur n’étaient pas transmises en clair et ont toujours été chiffrées via TLS. Les données associées aux dispositifs ROMO, y compris ceux situés en Europe, sont stockées sur une infrastructure cloud AWS basée aux États-Unis.
DJI maintient des standards stricts en matière de confidentialité et de sécurité des données et a mis en place des processus pour identifier et traiter les vulnérabilités potentielles. L’entreprise a investi dans un chiffrement conforme aux normes du secteur et exploite un programme de primes pour les vulnérabilités depuis longtemps. Nous avons examiné les conclusions et les recommandations soumises par les chercheurs en sécurité indépendants qui nous ont contactés via ce programme dans le cadre de notre processus standard après remediation. DJI continuera à déployer des améliorations de sécurité dans le cadre de ses efforts continus.
Azdoufal précise que, même aujourd’hui, DJI n’a pas résolu toutes les vulnérabilités qu’il a découvertes. L’une d’elles permet de visionner le flux vidéo de votre propre DJI Romo sans nécessiter le code PIN de sécurité. Une autre est si grave qu’il préfère ne pas la décrire tant que DJI n’aura pas eu le temps de la corriger. Le 17 février, DJI informe le The Verge qu’elle sera traitée dans les semaines qui viennent.
Et selon Azdoufal ainsi que le chercheur en sécurité Kevin Finisterre, il ne suffit pas que le Romo transmette des données chiffrées vers un serveur américain si quelqu’un à l’intérieur de ce serveur peut les lire facilement par la suite. « Un serveur basé aux États‑Unis n’empêche en aucun cas les employés de DJI d’accéder, » souligne Finisterre. Cela semble évident, car Azdoufal vit à Barcelone et a été capable de voir des appareils situés dans des régions totalement différentes.
« Une fois que vous êtes un client authentifié sur le broker MQTT, s’il n’existe pas de contrôles d’accès au niveau des sujets (ACL) adéquats, vous pouvez vous abonner à des sujets génériques (par exemple, #) et lire tous les messages de tous les appareils en clair au niveau de l’application », explique Azdoufal. « TLS ne sert à rien pour empêcher cela — il protège uniquement le tuyau, pas ce qui se trouve à l’intérieur du tuyau contre les autres participants autorisés. »
Quand je dis à Azdoufal que certains pourraient le juger pour ne pas avoir laissé à DJI suffisamment de temps pour remédier aux questions avant de rendre l’affaire publique, il note qu’il n’a rien piraté, n’a pas exposé de données sensibles et n’est pas expert en sécurité. Il affirme avoir simplement diffusé en direct tout ce qui s’est passé tout en essayant de contrôler son robot avec une manette PS5.
« Oui, je ne suis pas les règles, mais les gens restent fidèles au programme bug bounty par argent. Putain, je m’en fous, je veux juste que ce soit réparé. » Il ajoute qu’obéir aux règles jusqu’au bout aurait vraisemblablement prolongé la durée de cette faille, selon lui.
Selon lui, DJI ne semble pas avoir réellement découvert ces questions par elle-même en janvier, et il est agacé que l’entreprise ne lui ait répondu que par des messages automatiques sur X plutôt que par e-mails.
Pourtant, une chose le rend satisfait: il peut bel et bien contrôler son Romo avec une manette PlayStation ou Xbox.
Mise à jour du 17 février: ajout indiquant que DJI s’est engagé à traiter l’autre vulnérabilité dans les semaines à venir.
