:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/liberation/P777D4K5VVHU3FCACHE34EWW5Y.jpg?w=1200&resize=1200,630&ssl=1 "Des robots aspirateurs piratés insultent leurs propriétaires – Libération")
Des aspirateurs transformés en espions ? Des robots aspirateurs ont été piratés dans plusieurs villes américaines, criant des obscénités via leurs haut-parleurs embarqués, a rapporté ABC News jeudi 10 octobre. Les robots impliqués étaient tous des Ecovacs Deebot X2, fabriqués en Chine.
En mai, Daniel Swenson, un avocat du Minnesota, regardait la télévision lorsque son robot a commencé à mal fonctionner. « Cela ressemblait à un signal radio interrompu ou quelque chose comme ça. »il a témoigné à ABC News. « On pouvait entendre des bribes de voix. » Grâce à l’application connectée à l’aspirateur, il a constaté qu’un inconnu avait accès à la caméra de l’appareil et à la fonction télécommande.
Insultes racistes
Après avoir redémarré l’aspirateur, la voix s’est mise à crier des obscénités racistes. « J’avais l’impression que c’était un enfant, peut-être un adolescent, qui parlait »a expliqué Daniel Swenson. Selon lui, la situation aurait été pire si les hackers n’avaient pas signalé leur présence et avaient décidé d’observer discrètement sa famille, à son insu. Finalement, l’avocat a placé l’aspirateur dans le garage et ne l’a plus jamais rallumé.
Plusieurs personnes, toutes basées aux États-Unis, ont signalé des piratages similaires. Ainsi, le même jour que l’incident de la famille Swenson, un autre appareil du même modèle s’est perdu et a pourchassé le chien de son propriétaire autour de son domicile de Los Angeles. Le robot était contrôlé à distance et des commentaires offensants étaient diffusés par haut-parleurs. De même, un autre robot Ecovacs, situé au Texas, a commencé à proférer des insultes racistes à l’encontre de son propriétaire, rapporte ABC News. On ne sait pas exactement combien d’appareils ont été piratés au total.
Six mois plus tôt, des chercheurs en sécurité avaient signalé à Ecovacs d’importantes failles de sécurité dans ses robots aspirateurs. Le plus grave ayant été repéré dans le système Bluetooth, qui permet un accès complet à ces aspirateurs à une distance de plus de 100 mètres. De même, le système de code PIN protégeant les capacités vidéo du robot – et la fonction de télécommande – serait défectueux. Ainsi, toute personne possédant les connaissances techniques nécessaires peut contourner le contrôle de l’appareil. De plus, le son d’avertissement censé être émis lorsque la caméra est surveillée peut être désactivé à distance.
Lecture des mots de passe
Ces failles sont problématiques puisqu’elles permettent aux pirates d’espionner les utilisateurs de ces appareils, et de lire les mots de passe Wi-Fi des foyers auxquels ces appareils sont connectés (et qui permettent de les contrôler grâce à une application sur le téléphone.) En accédant aux plans de la maison, stockés en mémoire par l’aspirateur.
Daniel Swenson a porté plainte auprès d’Ecovacs, qui lui a assuré qu’un « enquête de sécurité » serait réalisée. Plus tard, l’entreprise a reconnu la faille dans un email envoyé à l’avocat : « Votre compte Ecovacs et votre mot de passe ont été acquis par une personne non autorisée. » La société a annoncé qu’elle publierait une mise à jour de sécurité pour les propriétaires de ce type d’aspirateur.
