Aspirateur robot DJI Romo : une faille géante expose 7 000 foyers à l'espionnage

Un passionné de tech voulait simplement piloter son aspirateur robot avec une manette de jeu. En fouillant dans les échanges réseau de son DJI Romo, Sammy Azdoufal a mis au jour une brèche de sécurité colossale : l'accès aux caméras, micros et plans de logements de près de 7 000 foyers répartis dans 24 pays. Une découverte qui relance le débat sur la sécurité des objets connectés domestiques.

L'histoire commence de manière presque anodine. Sammy Azdoufal, stratège en intelligence artificielle, acquiert un DJI Romo, le premier aspirateur robot du géant chinois du drone. Curieux, il décide de tenter de le contrôler avec une manette PlayStation. Pour y parvenir, il analyse les communications réseau de l'appareil et extrait un jeton d'authentification censé donner accès uniquement à ses propres données.

Sauf que le serveur MQTT utilisé par DJI ne vérifie pas correctement les permissions. Avec ce simple jeton, Azdoufal peut souscrire aux flux de données de milliers d'autres appareils. « C'est vraiment bizarre d'avoir un micro sur un aspirateur », confie-t-il, stupéfait par l'ampleur de sa trouvaille. En quelques minutes, il aspire plus de 100 000 messages provenant d'environ 7 000 aspirateurs actifs à travers le monde.

Des données ultra-sensibles accessibles sans effort

La liste des informations exposées donne le vertige : numéros de série, cartographies 2D détaillées des logements, positions des obstacles, niveaux de batterie, statuts de charge et, surtout, accès potentiel aux flux vidéo et audio en temps réel. Azdoufal démontre même qu'il est possible de contourner le code PIN censé protéger l'accès à la caméra embarquée. Autrement dit, n'importe quel individu malveillant aurait pu espionner l'intérieur de milliers de domiciles sans que leurs occupants ne s'en aperçoivent.

Le plus inquiétant réside dans la simplicité de l'exploitation. Aucune technique de piratage sophistiquée n'a été nécessaire. La faille provient d'un défaut de validation des permissions côté serveur, une erreur de conception basique pour un constructeur de cette envergure. Les données transitaient certes de manière chiffrée, mais le backend ne contrôlait pas qui avait le droit d'y accéder.

DJI a réagi après avoir été alerté, reconnaissant un « problème de validation des permissions côté serveur ». Deux correctifs ont été déployés les 8 et 10 février 2026. Le constructeur assure que, selon ses investigations, la faille n'a pas été exploitée par des acteurs malveillants. Pourtant, Azdoufal indique qu'il lui est toujours possible d'accéder au flux vidéo en direct de son appareil sans code PIN, malgré les mises à jour.

Un problème récurrent dans l'industrie des objets connectés

Cette affaire DJI n'est pas un cas isolé. En 2024, les chercheurs en sécurité Dennis Giese et Braelynn Luedtke avaient révélé lors de la conférence DEF CON des failles critiques dans les aspirateurs Ecovacs Deebot. Des pirates avaient ensuite exploité ces vulnérabilités pour prendre le contrôle de robots dans plusieurs villes américaines, activant caméras et haut-parleurs à distance. D'autres marques comme Dreame et Narwal ont également été épinglées pour des problèmes similaires, comme le rappelait récemment un article sur les smartphones et la vie privée.

La question de fond dépasse le simple bug technique : pourquoi un aspirateur robot a-t-il besoin d'un microphone ? La présence de capteurs audio et vidéo sur ces appareils, combinée à leur capacité à cartographier précisément un logement, en fait des outils de surveillance potentiellement redoutables. Chaque objet connecté ajouté au foyer élargit la surface d'attaque exploitable par des cybercriminels.

En attendant que les fabricants renforcent sérieusement leurs protocoles de sécurité, les experts recommandent aux utilisateurs de désactiver les fonctions réseau de leurs appareils lorsqu'ils ne les utilisent pas et d'appliquer systématiquement les mises à jour du firmware. Un réflexe d'autant plus nécessaire que la simple activation permanente du WiFi peut déjà menacer vos données.