Passer au contenu

Des robots-aspirateurs hackés inondent leurs propriétaires d’insultes racistes

Des incidents qui témoignent une fois de plus de la vulnérabilité des objets connectés.

Mathilde Rochefort
Par

Plusieurs aspirateurs-robots de la marque chinoise Ecovacs ont été infiltrés par des hackers et se sont mis à proférer des insultes à l’encontre de leurs propriétaires. L’un d’entre eux a même persécuté un chien à travers la maison…

Prise de contrôle à distance

Les faits se sont produits dans plusieurs villes américaines en l’espace de quelques jours, durant lesquels plusieurs aspirateurs-robots Deebot X2 Omni ont été piratés. Les hackers ont pris le contrôle physique des appareils, hurlant des obscénités à travers leurs haut-parleurs.

Un habitant du Minnesota explique avoir entendu une voix, très vraisemblablement d’adolescent, proférer des insultes racistes depuis son aspirateur, alors qu’il regardait la télé. Via l’application Ecovacs, il s’est en outre rendu compte qu’un inconnu accédait à la caméra du produit en temps réel, ainsi qu’à la fonction de contrôle à distance. L’utilisateur a modifié son mot de passe et redémarré le robot, mais l’attaque s’est poursuivie. Depuis, il n’allume plus son Ecovacs.

Et ce n’est pas un cas isolé. Du Texas à la Californie, plusieurs témoignages similaires ont fait surface. À Los Angeles, un aspirateur-robot a poursuivi le chien de son propriétaire autour de sa maison, tentant d’apeurer l’animal.

Plusieurs failles détectées sur le modèle

Les malfaiteurs ont probablement exploité plusieurs vulnérabilités déjà connues. Six mois avant les incidents, survenus en mai, des chercheurs en cybersécurité ont en effet identifié plusieurs failles critiques dans ces modèles. La plus alarmante concernait le connecteur Bluetooth, qui permettait à un attaquant de prendre le contrôle total du robot à une distance allant jusqu’à 100 mètres.

De plus, le système de protection par code PIN, censé sécuriser l’accès au flux vidéo et aux fonctions de contrôle à distance, s’est avéré défectueux et facilement contournable. Les experts ont également découvert qu’il était possible de désactiver à distance le son d’avertissement qui devait normalement se déclencher lorsque la caméra du robot était utilisée, permettant ainsi une surveillance discrète et non autorisée.

Ces failles combinées ont créé une situation où les propriétaires de ces appareils étaient particulièrement vulnérables à ce type d’intrusions, sans même le savoir, estiment les chercheurs.

Ecovacs Deebot 2
© Ecovacs

La vulnérabilité des objets connectés

De son côté, l’entreprise a confirmé qu’une cyberattaque avait ciblé certains appareils, mais évoque la technique du « credential stuffing » pour expliquer les perturbations. Celle-ci exploite la tendance des utilisateurs à réutiliser les mêmes identifiants sur plusieurs sites ou services en ligne. Si leurs identifiants ont fuité lors d’un vol de données, ils sont récupérés par les cybercriminels pour accéder à leurs comptes sur d’autres plateformes.

Ecovacs assure avoir corrigé la faille du code PIN et déploiera une mise à jour de sécurité en novembre pour les propriétaires du modèle concerné. Elle leur recommande, en outre, de modifier leur mot de passe.

Ces incidents témoignent des nombreuses vulnérabilités qui touchent les objets connectés, constamment reliés à Internet. Certains fabricants se montrent beaucoup moins pointilleux que d’autres en matière de sécurité, ce qui requiert une vigilance accrue de la part de leurs propriétaires.

Dans une déclaration officielle, Ecovacs détaille la méthode de piratage employée et les correctifs mises en œuvre pour empêcher que de tels incidents se reproduisent :

ECOVACS s’engage à protéger proactivement ses produits et les données de ses utilisateurs. Suite à l’incident de piratage des produits ECOVACS rapporté par le journaliste de l’Australian Broadcasting Corporation, Julian Fell, dans ses articles, ECOVACS ROBOTICS déclare :

1. Des produits ECOVACS sécurisés pour une utilisation quotidienne

Après avoir discuté avec Dennis Giese, spécialiste en cybersécurité mentionné dans les articles, et après une évaluation interne par ECOVACS, les méthodes existantes de piratage des aspirateurs robots par le biais de connexions Bluetooth n’aLectent pas les utilisateurs dans des conditions ordinaires. Les techniques de piratage employés par Dennis Giese et Julian Fell, journaliste à ABC, nécessitent les conditions suivantes :

– L’activation du Bluetooth sur l’aspirateur robot, ce qui nécessite d’accéder physiquement à l’appareil et d’appuyer soit sur le bouton de connexion au réseau, soit sur le bouton de réinitialisation. Le signal Bluetooth sera ensuite émis pendant un maximum de 20 minutes avant de s’éteindre automatiquement.

– Le hacker doit procéder à une rétro-ingénierie du micrologiciel et de l’application, et disposer d’une connaissance approfondie du protocole BLE pour mener à bien les étapes de piratage.

Par conséquent, les utilisateurs ne devraient pas s’inquiéter de la sécurité du produit. Nous insistons sur le fait que tout piratage non autorisé de produits, d’algorithmes et toute autre action de ce type est illégale à travers le monde, et que les auteurs de tels actes seront soumis aux sanctions juridiques correspondantes.

2. ECOVACS s’engage à mettre à jour régulièrement les mesures de sécurité de ses produits afin de protéger les données et la vie privée de ses utilisateurs

ECOVACS améliore la protection de ses produits régulièrement lors de mises à jour de routine des logiciels et de la politique de sécurité, afin de prévenir la survenue des cyberattaques ainsi que leur impact encore méconnu.

– ECOVACS ROBOTICS a implémenté la phase initiale de sa dernière solution de sécurité en août et septembre 2024.

– ECOVACS ROBOTICS a lancé la deuxième phase de mise à jour de la stratégie de protection au mois d’octobre, améliorant encore les capacités de sécurité des produits tels que le DEEBOT X2, DEEBOT X1 et le DEEBOT T20.

Concernant les autres risques de sécurité auxquels le public peut être confronté au-delà des piratages, tels que l’utilisation du même nom d’utilisateur et du même mot de passe sur plusieurs plateformes les rendant ainsi plus vulnérables si l’une des plateformes est piratée, nous recommandons vivement aux utilisateurs de définir des mots de passe différents et de les changer régulièrement. En réponse à ces activités malveillantes, ECOVACS a testé et implémenté des mécanismes supplémentaires de connexion à multiples facteurs et d’activation par codes en temps réel. La marque s’engage à mettre continuellement à jour sa stratégie préventive.

3. ECOVACS possède les meilleures fonctionnalités de protection de l’industrie

En tant que leader dans la sécurité des produits et services présent à l’international, ECOVACS est une cible privilégiée pour les pirates informatiques. Nous nous engageons à maintenir une étroite collaboration avec les autorités, les organismes de certification et les experts en sécurité pour protéger nos clients à travers le monde, dans le but de maintenir cette position eu sein de l’industrie.

  • Aux États-Unis, plusieurs aspirateurs-robots de la même marque ont été piratés, proférant des insultes racistes à l’encontre de leurs propriétaires.
  • Des experts en cybersécurité avaient décelé plusieurs failles de sécurité sur les appareils.
  • La marque déploiera une mise à jour courant novembre.

📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.

Antivirus Bitdefender Plus
Antivirus Bitdefender Plus
Par : Bitdefender
Voir notre test Acheter la licence à 19 €

[ Source ]

Sur le même sujet

1 commentaire
1 commentaire

  1. ils n’ont que ce qu’ils méritent (les fabriquant), pourquoi l’aspi est connecté en permanence, ça ne sert a rien, si la cartographie et la programmation était stockée dans le robot, une fois que tout est réglé on pourrai parfaitement lui coupé internet… et quand tu veux faire une modif tu appuis sur un bouton pour la réactivé…

    mais non, lancer son aspi depuis le taff, c’est un argument marketing, même si ça sert a rien!…🙄

    Répondre
Les commentaires sont fermés.
Les dernières actualités
Chevreuil
Lièvre, blaireau, chevreuil… Comment s’appelle la femelle de ces animaux ?
Super Mario Bros. le Film
À la TV ce soir : 3 films à regarder ce dimanche
Cricket Inde Equipe Investissement
« Aussi important que la NBA » : le cricket indien s’enflamme, les milliardaires investissent des fortunes
Pc Gaming Hp Victus
Grâce à ce code promo, l’excellent PC Gamer HP Victus chute sous la barre des 1000 euros chez Boulanger
taxe foncière
« Payer la taxe foncière de son voisin et devenir propriétaire de son logement » : cette décision de justice change tout
Femmes Travail
Les 3 bonnes nouvelles de la semaine
Location Smartphone
Pourquoi vous allez bientôt louer votre smartphone comme un simple service
Huawei Matepad 12 X 2025 Une
Test de la Huawei MatePad 12 X 2025 : une tablette qui sort de l’ordinaire