Un numéro de série à 14 chiffres, et tu pouvais parfois regarder ce que filme un DJI Romo chez quelqu’un d’autre. Pas une métaphore, pas un scénario Black Mirror: un accès non autorisé à des flux vidéo et à des plans 2D d’appart, en temps réel, a été démontré par des chercheurs. Le genre d’histoire qui te fait reconsidérer l’idée même d’un robot “smart” qui se balade chez toi, caméra et capteurs allumés.
DJI dit avoir corrigé via des mises à jour côté serveur déployées les 8 et 10 février. Sauf que des tests ont montré que, même après les annonces, la vulnérabilité était encore visible à certains endroits. Et le timing est pourri: la marque est déjà sous pression aux États-Unis, avec des soupçons d’espionnage qui collent à la peau de DJI depuis des années. Résultat, l’incident Romo tombe comme une enclume.
Numéro de série, PIN contournée: la démonstration qui a mis le feu
Ce qui choque, c’est la simplicité du point d’entrée. Dans des tests rapportés publiquement, l’accès au statut d’un Romo pouvait se faire avec le seul numéro de série – 14 chiffres, pas un secret d’État. En quelques secondes, un chercheur a pu voir qu’un robot nettoyait un salon, avec un niveau de batterie affiché à 80 %. Dit comme ça, on dirait un gadget. Sauf que ce statut, c’est la porte d’entrée vers le reste.
Le reste, c’est la cartographie. Le Romo est capable de générer un plan 2D précis du logement, et dans la démo, ce plan sortait en temps réel. Pas “un dessin approximatif”, plutôt une représentation exploitable: pièces, contours, circulation. Pour un cambrioleur motivé, c’est déjà une mine. Pour quelqu’un qui veut juste stalker, c’est encore pire: tu comprends l’agencement et tu peux deviner les habitudes.
Et puis il y a le point qui fait vraiment basculer l’affaire: le flux vidéo. Sur certains scénarios, l’accès à la caméra aurait fonctionné en contournant le code PIN censé verrouiller la vidéo. La PIN, c’est justement la barrière “grand public”: tu la mets, tu te dis que personne ne peut regarder. Le truc c’est que si la PIN saute côté serveur, ton réglage local ne vaut plus grand-chose.
J’ai eu au téléphone un admin réseau qui gère des parcs d’objets connectés pour des locations courte durée – “pas mon métier de défendre les robots aspirateurs”, qu’il m’a dit. Son verdict est sec: dès que tu as un appareil qui combine caméra + accès distant + cloud, la moindre validation de droits foireuse devient un cauchemar. Et là, on parle d’un produit qui circule dans l’intimité, pas d’une caméra posée dans un couloir d’entrepôt.
Le bug n’était pas le TLS, mais les droits côté serveur
DJI a insisté sur un point: les données des utilisateurs internationaux seraient stockées sur des serveurs AWS aux États-Unis. Dans la com’, ça sonne rassurant, presque comme une garantie géopolitique. Sauf que la critique des chercheurs est basique: chiffrer “dans le tuyau” (le transit) ne suffit pas si, une fois arrivé sur le serveur, les contrôles d’accès sont mal configurés. Tu peux avoir du TLS nickel et une maison sans serrure.
Dans ce dossier, il est question d’un problème de validation de permissions côté backend, sur des communications basées sur MQTT. MQTT, c’est un protocole très courant pour l’IoT: léger, rapide, parfait pour des appareils qui bavardent en permanence. Sauf que si ton serveur accepte des requêtes sans vérifier correctement “qui a le droit de demander quoi”, tu te retrouves avec un système où l’identité devient un détail. Et là, l’identité pouvait se réduire à un numéro de série.
Ce qui a mis DJI dans l’embarras, c’est aussi l’écart entre discours et vérification. La marque a expliqué que la faille avait été corrigée avant que l’affaire ne sorte. Sauf que des tests indépendants ont montré que, mardi encore, la vulnérabilité était présente. C’est le genre de décalage qui flingue la confiance plus sûrement qu’un bug initial: un bug, ça arrive; minimiser, ça reste.
Un chercheur m’a résumé le problème avec une phrase très “terrain”: “les entreprises adorent dire que c’est chiffré, parce que c’est compréhensible par tout le monde”. Oui, c’est chiffré. Mais si quelqu’un à l’intérieur du système peut lire après déchiffrement, ou si un attaquant peut se faire passer pour toi, le chiffrement devient un alibi. La vraie question, c’est: qui peut accéder, et comment c’est contrôlé.
Plans 2D, présence, habitudes: ce que révèle un aspirateur “premium”
Un aspirateur robot, c’est déjà intrusif par nature. Il scanne, il cartographie, il mémorise. Dans le cas du Romo, l’épisode rappelle un truc simple: le plan de ton logement est une donnée sensible. Pas “un peu”, pas “selon les cas”: sensible, point. Un plan, ça révèle la surface, les pièces, les zones de passage, parfois les obstacles permanents. Ça peut même trahir ton niveau de vie, juste par la taille et l’agencement.
Ajoute à ça les métadonnées: localisation, statut, horaires de nettoyage. Ce sont des signaux faibles, mais cumulés, ça raconte une histoire. Si le robot tourne tous les jours à 10 h, tu peux deviner que le logement est vide à ce moment-là. Si tu vois qu’il est lancé à distance, tu comprends qu’il y a un contrôle extérieur. Et quand une caméra entre dans l’équation, tu passes du “profilage” à l’observation directe.
Le cas Romo remet aussi sur la table la question des capteurs “en trop”. Un des chercheurs s’est étonné de la présence d’un micro sur un aspirateur. Franchement, je vois l’idée produit – commandes vocales, diagnostic, je sais pas – mais côté risques, c’est un multiplicateur. Micro + caméra + plan + cloud, c’est un cocktail. Même si l’exploitation réelle est annoncée comme “extrêmement rare”, l’impact potentiel, lui, est maximal.
On me dira: “oui mais tous les objets connectés font pareil”. Justement. Le marché smart home vend du “premium” à coups de capteurs, alors que la discipline de sécurité ne suit pas toujours. Et l’épisode Romo le montre crûment: tu peux payer cher, avoir une marque connue, et te retrouver avec une faiblesse côté serveur qui annule tes réglages. Le prix ne protège pas, il donne juste l’illusion.
DJI sous pression aux États-Unis: le pire timing possible
Cette histoire arrive au moment où DJI tente déjà de ne pas se faire sortir définitivement du marché américain, sur fond de soupçons d’espionnage autour de ses drones et de “drones étrangers” plus largement. Dans ce contexte, une faille qui laisse entrevoir des intérieurs – même de façon théorique – c’est du pain bénit pour ceux qui veulent durcir la ligne. Pas besoin d’inventer un complot: une mauvaise gestion des accès suffit à déclencher une tempête politique.
DJI a aussi tenté de cadrer le récit en expliquant que les occurrences d’accès non autorisés étaient “extrêmement rares”, et que la majorité des activités identifiées provenaient de chercheurs testant leurs propres appareils. C’est plausible: les chercheurs font ça, ils poussent les limites. Mais la phrase qui fâche, c’est “théorique”. Quand tu peux reproduire une démo avec un robot dans un autre pays, on n’est plus dans la théorie de labo.
Le problème d’image est double. D’un côté, tu as la peur “Chine = accès”. De l’autre, tu as la réalité technique: si les droits serveur sont mal foutus, n’importe qui peut passer. Un chercheur a d’ailleurs rappelé un point simple: héberger sur un serveur situé aux États-Unis ne bloque pas magiquement l’accès à des employés d’un autre pays si les permissions internes le permettent. C’est une question d’organisation et de contrôle, pas de drapeau sur la carte.
J’ai vu des boîtes s’en sortir après un incident de sécurité, mais il faut une chose: une gestion propre, transparente, et un dialogue normal avec les chercheurs. Là, DJI traîne un historique de relations tendues avec des auditeurs et des chercheurs, avec des contestations publiques et une posture parfois agressive. Quand tu as déjà cette réputation, le moindre bug prend une dimension plus large. Le public ne juge pas que la faille, il juge la réaction.
Ce que tu peux faire aujourd’hui dans l’app DJI (et ce qui reste hors de ton contrôle)
Première étape, la plus bête et la plus utile: ouvre l’app DJI et vérifie les réglages de confidentialité. Regarde l’accès caméra, la PIN, les comptes liés, les options de partage. Si tu n’utilises jamais la caméra, désactive-la. Pareil pour l’accès distant: si ton usage, c’est “je lance le ménage quand je suis au boulot”, OK. Si tu ne t’en sers pas, coupe. Le meilleur risque, c’est celui que tu supprimes.
Deuxième étape: isole le robot sur un réseau invité ou un Wi-Fi séparé, si ta box le permet. Ce n’est pas magique, mais ça limite les dégâts si un appareil est compromis. Concrètement, ça évite qu’un objet connecté ait une route directe vers ton NAS, ton PC de boulot, ou la tablette des enfants. Un technicien que je connais appelle ça “mettre l’IoT dans son enclos”. C’est une image, mais tu vois l’idée.
Troisième étape: surveille les annonces de sécurité et les notes de version. Ici, le patch a été déployé côté serveur, donc tu n’as pas forcément un bouton “mettre à jour” qui te rassure. C’est justement ce qui énerve: tu dépends du fournisseur, et tu ne vois pas toujours ce qui change. Du coup, si tu vois un comportement bizarre (caméra qui s’active, connexions suspectes), tu prends ça au sérieux, pas “on verra”.
Et il faut être clair sur ce qui reste hors de ton contrôle: l’architecture cloud. Si la faiblesse vient d’une validation de permissions côté backend, tu peux avoir la meilleure PIN du monde, ça ne compensera pas une mauvaise règle serveur. Tu peux réduire la surface d’attaque, tu peux limiter les fonctions, mais tu ne peux pas auditer AWS, MQTT, et les droits internes de DJI depuis ton canapé. C’est là que la confiance, la vraie, se joue.
À retenir
- La faille a permis d’accéder à des statuts, plans 2D et parfois au flux vidéo via un simple numéro de série.
- Le cœur du problème concerne des permissions backend (MQTT), pas juste le chiffrement en transit.
- Même corrigé côté serveur, l’épisode pose la question de la confiance et des capteurs intrusifs à domicile.
Questions fréquentes
- Est-ce que DJI a corrigé la faille du Romo ?
- DJI affirme avoir déployé des correctifs côté serveur les 8 et 10 février. Des vérifications indépendantes ont quand même montré que la vulnérabilité n’était pas totalement éliminée à certains moments, ce qui alimente les critiques sur la gestion de l’incident.
- Pourquoi la PIN de la caméra n’a pas suffi ?
- Parce que le souci décrit touche la validation des droits côté serveur. Si le backend accepte une requête sans vérifier correctement l’autorisation, une PIN définie par l’utilisateur peut être contournée dans certains scénarios, même si elle est activée dans l’app.
- Quelles données sont les plus sensibles dans cette affaire ?
- Le flux vidéo quand il est accessible, et les plans 2D du logement générés en temps réel. Ces informations peuvent révéler l’agencement, des habitudes de présence, et des détails intimes sur l’intérieur.
- Que faire si je possède un DJI Romo ?
- Vérifie les réglages de confidentialité dans l’app (caméra, PIN, partage, comptes liés), désactive les fonctions inutiles (caméra/accès distant), et si possible isole le robot sur un réseau invité ou un Wi‑Fi séparé. Surveille aussi les annonces de sécurité de DJI, puisque le correctif a été côté serveur.
Sources
- une faille permet d'accéder à tous les aspirateurs robots DJI Romo
- Aspirateurs DJI Romo : Une faille massive a exposé les plans de 7 …
- The DJI Romo robovac had security so poor, this man remotely …
- DJI Security Assessment: An Analysis of Vulnerabilities …
- API et communications de DJI Romo inversées ! : r/RobotVacuums
- Cyberattaque contre l’ANTS: quelles données ont pu fuiter et comment éviter les arnaques - 21 avril 2026 à 15h53
- Algorithmes Google et IA : anticiper les évolutions pour sécuriser votre trafic organique - 9 avril 2026 à 14h13
- SquareFLOOR : dalles clipsables esthétiques et durables pour une rénovation rapide - 2 avril 2026 à 16h11
