Des aspirateurs transformés en espions ? Les robots aspirateurs de plusieurs villes américaines ont été piratés, hurlant des obscénités par l’intermédiaire de leurs haut-parleurs embarqués, rapporte le média ABC News jeudi 10 octobre. Les robots concernés étaient tous des Ecovacs Deebot X2, fabriqués en Chine.
En mai, Daniel Swenson, un avocat du Minnesota, regardait la télévision lorsque son robot a commencé à dysfonctionner. «On aurait dit un signal radio interrompu ou quelque chose du genre», a-t-il témoigné auprès d’ABC News. «On pouvait entendre des bribes de voix.» Grâce à l’application connectée à l’aspirateur, il a vu qu’un inconnu avait accès à la caméra de l’engin et à la fonction de contrôle à distance.
Insultes racistes
Après le redémarrage de l’aspirateur, la voix s’est mise hurler des obscénités racistes. «J’ai eu l’impression que c’était un enfant, peut-être un adolescent, qui parlait», a encore expliqué Daniel Swenson. Selon lui, la situation aurait été pire si les hackers n’avaient pas signalé leur présence et avaient décidé d’observer discrètement sa famille, à son insu. Finalement, l’avocat a rangé l’aspirateur dans le garage et ne l’a plus jamais rallumé.
Plusieurs personnes, toutes basées aux États-Unis, ont signalé des piratages similaires. Ainsi, le même jour que l’incident de la famille Swenson, un autre appareil du même modèle s’est égaré et a poursuivi le chien de son propriétaire autour de sa maison de Los Angeles. Le robot était piloté de loin, et des commentaires injurieux étaient diffusés par les haut-parleurs. De même, un autre robot Ecovacs, situé au Texas, s’est mis à proférer des insultes racistes à son propriétaire, affirme ABC News. On ignore combien d’appareils ont été piratés au total.
Enquête
Six mois plus tôt, des chercheurs en sécurité avaient signalé à Ecovacs d’importantes failles de sécurité dans ses aspirateurs robots. La plus grave ayant été repérée dans le système Bluetooth, qui permet un accès complet à ces aspirateurs à une distance de plus de 100 mètres. De même, le système de code PIN protégeant les capacités vidéo du robot - et la fonction de contrôle à distance - serait défectueux. Ainsi, toute personne disposant des connaissances techniques nécessaires peut contourner le contrôle de l’appareil. De plus, le son d’avertissement censé être émis lorsque la caméra est surveillée peut être désactivé à distance.
Lecture des mots de passe
Ces failles sont problématiques puisqu’elles permettent aux hackers d’espionner les utilisateurs de ces appareils, et de lire les mots de passe Wi-Fi des foyers sur lesquels sont branchés ces engins (et qui permettent de les contrôler à l’aide d’une application sur téléphone.) Tout en accédant aux plans de la maison, gardés en mémoire par l’aspirateur.
Daniel Swenson a déposé une plainte auprès d’Ecovacs, qui lui a assuré qu’une «enquête de sécurité» serait menée. Plus tard, l’entreprise a reconnu la faille dans un mail communiqué à l’avocat : «Votre compte Ecovacs et son mot de passe ont été acquis par une personne non autorisée». La société a déclaré qu’elle publierait une mise à jour de sécurité pour les propriétaires de ce type d’aspirateurs.