00:00Léa Benaim avec vous ce matin, une histoire terrifiante.
00:02Un Français qui a réussi à pirater des milliers d'aspirateurs robots.
00:06Il s'est connecté à leur caméra et à leur micro en direct.
00:09Oui, il s'appelle Samy Asdoufal et l'histoire est complètement dingue.
00:12En fait, il a chez lui un aspirateur robot de la marque DJI,
00:16entreprise chinoise spécialisée dans les drones,
00:19qui il y a quelques mois s'est mis à sortir des aspirateurs robots hypertech,
00:23un bardé de caméras, de capteurs, de micros.
00:26Clairement, en fait, ils ont mis toute la technologie de leur drone
00:28dans cet aspirateur robot.
00:31Et donc, Samy Asdoufal, développeur de métier, très geek,
00:34s'est donné comme mission de piloter son aspirateur robot
00:37avec une manette de PlayStation, une envie personnelle, pourquoi pas.
00:41Sauf que, et c'est là que ça devient intéressant,
00:43en essayant de connecter la batterie de son propre aspirateur robot
00:47pour brancher sa manette,
00:49il s'est rendu compte qu'il pouvait se connecter
00:52à des milliers d'autres aspirateurs partout dans le monde.
00:55Une découverte terrifiante.
00:56Il avait accès en temps réel aux caméras, aux microphones,
01:01aux plans des appartements et aux adresses IP des utilisateurs.
01:04On écoute justement Samy Asdoufal.
01:07Il a raconté son histoire.
01:08C'était mardi soir dans Tech & Co sur BFM Business.
01:12Alors, en essayant de répliquer,
01:13peut-être pas seulement la batterie de mon robot que j'ai récupéré,
01:16c'est la batterie de beaucoup de robots,
01:19plusieurs milliers.
01:20Et donc, je me suis dit un peu rapidement,
01:25et si je changeais le numéro de série avec un autre appareil ?
01:28Et en fait, c'était bon.
01:30Donc, ça a fonctionné tout de suite.
01:31Donc, au-delà du mouvement du robot,
01:33j'avais surtout accès à la caméra.
01:37Et, allez le croire ou non,
01:38mais il y a un microphone sur le robot aspirateur.
01:41C'est désactivé pour les Européens.
01:44Mais moi, je pouvais très bien l'activer à distance.
01:47Une faille...
01:47Ça fout les jetons !
01:49Ça fout les jetons !
01:50Une faille énorme dans l'infrastructure cloud de DJI.
01:53Ça concerne 7000 aspirateurs robots au total dans 24 pays.
01:57Et il le dit clairement,
01:59la faille était simple à découvrir.
02:01Il n'est pas à cœur de métier.
02:02Il n'a pas cherché à hacker.
02:03C'était vraiment par pur hasard.
02:04Alors, ce qui est intéressant,
02:05c'est qu'il a contacté la marque.
02:07Oui.
02:07Alors, ça a pris du temps,
02:08parce qu'il a d'abord envoyé un mail au service client de DJI.
02:11Bonjour, j'ai piraté tous les...
02:13Exactement.
02:13Tous les rembos.
02:14Et en fait, en parallèle,
02:15il a raconté son histoire sur les réseaux sociaux.
02:17Il s'est très vite fait contacter par des médiathèques américains.
02:21Et du coup, l'histoire a fait le tour du monde.
02:23Et c'est justement lorsque ces médiathèques américains
02:26ont fait des articles que DJI lui a répondu.
02:28Ils ont depuis en partie corrigé la faille.
02:31Et en récompense de sa trouvaille,
02:33ils vont lui verser 30 000 dollars.
02:35Une belle somme.
02:36Mais c'est surtout un revirement total pour DJI.
02:39Parce que, historiquement, le géant chinois n'est pas connu
02:41pour être très tendre avec justement ses chercheurs en sécurité.
02:45Mais la pression médiatique a fait son effet.
02:48En même temps, quand vous vendez un robot
02:50qui patrouille dans le salon des gens,
02:51la moindre faille de sécurité peut devenir très vite un gros problème.
02:55Alors, l'histoire, elle ne s'arrête pas là
02:57parce qu'il a décidé d'aller chercher d'autres failles
02:59dans d'autres objets connectés.
03:01Et il en a trouvé dans des babyphones.
03:02Oui, aussi inquiétant que l'aspirateur robot.
03:04Encore plus, même parce que c'est un objet que tout le monde,
03:07toutes les personnes qui ont des enfants, ont chez eux.
03:09Samy Asdoufal a découvert qu'en fait,
03:11le système qui pilote les babyphones
03:13est en réalité totalement ouvert et en libre accès sur Internet.
03:18Aucun mot de passe, aucune protection.
03:20En fait, pour comprendre, la plupart des objets connectés
03:22sont reliés à un serveur par pays
03:24dans lequel tous les objets connectés
03:26envoient des informations, de l'image, du son, des commandes.
03:29Et c'est à ce serveur en question
03:31que Samy a pu accéder et découvrir cette faille.
03:34Concrètement, il a pu avoir accès
03:36à tous les babyphones connectés dans le monde,
03:38savoir qui est en ligne, depuis quand
03:41et surtout ce que filme et enregistre chaque caméra.
03:44Et ça ne concerne pas un seul modèle.
03:46Au total, 378 marques de babyphones sont concernées,
03:49dont certaines qui sont vendues ici même, en France.
03:52en grande surface.
03:53Donc, comme pour DJI, Samy a contacté la marque.
03:56Il n'a pas eu de réponse, mais ils ont corrigé la faille.
03:59Et voilà, une histoire qui prouve encore
04:01qu'il faut faire attention aux objets connectés.
04:04Et qu'il faut arrêter d'être dans un...
04:06...avec les babyphones.
04:07On laisse tomber, on ouvre la porte
04:08et puis ça suffit.
04:09Comme ça, au moins...
04:10Ça, c'est un autre parti pris.
04:11Vous êtes tranquille.
04:11Merci beaucoup, Léa Benaïm.
04:13Sous-titrage Société Radio-Canada
Commentaires