Le hack DJI Romo montre les dangers que l'IA fait peser sur la maison intelligente
Agence web » Actualités du digital » Le hack DJI Romo montre les dangers que l'IA fait peser sur la maison intelligente

Le hack DJI Romo montre les dangers que l'IA fait peser sur la maison intelligente

ParTremplin Numérique Publié le

En tant que critique de maison intelligente, j’adore la maison connectée. Ma maison regorge d'appareils connectés, des thermostats aux fours en passant par l'éclairage et les robots (tondeuses à gazon et aspirateurs). Ils me rendent tous la vie plus facile et meilleure, mais même moi, je suis un peu secoué par le dernier hack.

Comme le rapporte The Verge, Sammy Azdoufal a accidentellement piraté près de 7 000 aspirateurs DJI Romo, en obtenant ainsi un contrôle total à distance. Azdoufal a utilisé le code Claude basé sur l'IA pour procéder à l'ingénierie inverse des protocoles de DJI, afin de pouvoir contrôler à distance son robot avec un contrôleur PS5.

Mais son application de contrôle à distance a fini par parler à l’ensemble de la base d’installation des aspirateurs DJI Romo. À ce stade, chaque robot pourrait être contrôlé à distance et les flux de caméra pourraient être visualisés, contournant le verrouillage PIN en place.

La faille était due au token utilisé. Azdoufal a extrait le jeton utilisé pour accéder à son appareil, mais cela lui a également donné accès à tous les autres appareils. Le problème de sécurité a été signalé à DJI et est désormais résolu, mais cet incident doit être considéré comme un coup de semonce.

Les problèmes risquent de s’aggraver

Il y a eu des piratages dans le passé. Selon Kaspersky, plusieurs robots aspirateurs Ecovacs ont été piratés, avec des flux vidéo activés, des insultes racistes émises par les haut-parleurs intégrés et un animal de compagnie pourchassé.

Cette attaque était entièrement malveillante ; Ce qui est effrayant dans la situation de DJI, c'est qu'Azdoufal essayait simplement de contrôler à distance son propre aspirateur. Et, dans ce cas, Claude Code a contribué à l'accès au jeton qui a ouvert les systèmes de DJI.

L’IA entre les mains de personnes essayant délibérément de s’introduire dans les systèmes est une lecture très effrayante. Le codage Vibe facilite la génération de code complexe avec quelques invites, ainsi que la modification et l'expérimentation rapides de différentes approches. Le potentiel d’utilisation de l’IA pour créer de nombreux codes malveillants semble presque illimité.

Avec le type d’appareils dont nous disposons actuellement, limiter l’exposition est presque impossible. Les appareils intelligents fonctionnent via des connexions cloud, car cela les rend plus faciles à configurer et à contrôler.

Dans le cas des robots aspirateurs, les caméras ne sont pas seulement un accessoire utile pour voir ce qui se passe ; ils constituent un élément essentiel du fonctionnement du système, utilisés pour une aide supplémentaire à la navigation et pour repérer et éviter les obstacles. Vous ne pouvez pas simplement dissimuler ces caméras pour plus de confidentialité, car vous paralyseriez le produit.

Vous ne pouvez pas non plus les déconnecter d’Internet et des services cloud sans perdre le contrôle avancé, l’édition de cartes et le contrôle à distance.

Ce n'est pas seulement une question de confidentialité

Bien que le hack DJI Romo comporte un élément de confidentialité, via la visualisation à distance de la caméra, il existe d'autres dangers. Un appareil piraté peut être utilisé comme tremplin pour accéder à d’autres appareils.

Dans le cas des robots, il existe d’autres menaces. Un robot télécommandé pourrait être utilisé pour percuter une table et briser un vase. Potentiellement, un robot piraté pourrait être amené à se jeter dans les escaliers.

Et qu’en est-il des autres appareils intelligents ? Je peux allumer mon four à distance, ce qui est utile pour le régler avant de rentrer à la maison, afin de pouvoir cuisiner immédiatement. Un système piraté signifierait que quelqu’un d’autre pourrait faire de même et accumuler une énorme facture d’énergie. De même, un chauffage intelligent pourrait être allumé au maximum, ce qui coûterait une fortune en électricité.

Tout cela semble tiré par les cheveux jusqu'au jour où ce n'est plus le cas.

Les modes locaux devraient-ils être une option ?

L'autre problème que nous avons constaté avec les appareils intelligents qui dépendent d'une connexion cloud est qu'ils peuvent être bloqués lorsqu'une entreprise fait faillite ou, comme avec les appareils Belkin WeMo, qu'une gamme de produits est interrompue.

Il est peut-être temps que de nombreux appareils intelligents soient dotés d'un mode local obligatoire, dans lequel ils répondraient uniquement aux commandes d'un appareil sur le même réseau via une connexion établie et sécurisée.

De cette façon, un appareil pourrait être géré depuis chez soi, quel que soit l’état de la connexion cloud. Ce serait une bonne chose en cas de panne du cloud, mais également en cas de faillite d’une entreprise.

Des éléments tels que les mises à jour du micrologiciel peuvent être vérifiés via l'application et appliqués manuellement si nécessaire.

Bien sûr, les fonctionnalités à distance ne fonctionneraient pas, donc cela ne serait pas bon pour les caméras de sécurité, mais pour de nombreux appareils intelligents, la personne soucieuse de la sécurité pourrait bien en prendre les inconvénients pour plus de tranquillité d'esprit.

Tremplin Numérique

La rédaction de Tremplin Numérique, agence web française. Nos auteurs vous fournissent quotidiennement et gratuitement les dernières actualités tech et digital, en France et dans le monde.