Un aspirobot Deebot X2 de la marque Ecovacs a crié des injures racistes. Le hacker avait accès au robot et à ses caméras.

Coïncidence : alors que mon Deebot d’Ecovacs vient de hurler pour me demander de débloquer son laser qui lui permet de mesurer les distances, je tombe sur un témoignage publié sur le média américain ABC qui part de la même situation, pour finir dans un cauchemar de cybersécurité. Daniel Swenson, avocat américain, regardait tranquillement la télé en famille, quand son aspirateur robot s’est mis à bouger et à émettre des sons confus, comme du bruit blanc. Pensant à un bug, il l’a remis sur sa borne de charge et est retourné sur son canapé. C’est là que tout a vrillé.

Pour aller plus loin
Source : culturegeek
Aspirateurs robots : les 4 meilleurs modèles en 2024

Le robot a recommencé à bouger et cette fois, il s’est mis à proférer des injures racistes. Paniqué, Swenson a tout débranché, a rangé l’engin dans son garage et s’est empressé de contacter l’entreprise chinoise Ecovacs pour comprendre ce qui s’est passé. Après qu’un expert lui a demandé des vidéos de l’interaction, que Swenson n’avait pas, Ecovacs a fini par trouver une explication plausible : son duo d’identifiants et de mots de passe était le même partout sur le web et a été divulgué lors d’un piratage d’une autre compagnie. Ecovacs a affirmé ne pas avoir subi de vols de données.

Cyberattaques : quand l’humain est le maillon faible

Avec U-Cyber 360°, la société française Mailinblack vous permet de protéger votre organisation et d’éduquer vos collaborateurs à la cybersécurité.

Du gestionnaire de mots de passe à la sécurisation des e-mails en passant par la formation continue ou les simulations d’attaques, cette solution regroupe tous les outils pour prévenir les risques cyber.

En savoir plus

Le fait de laisser le même mot de passe partout expose à ce genre de hack plutôt facile à opérer. On comprend alors qu’un hacker, en possession des identifiants de Swenson, a pu se connecter à l’application Ecovacs et utiliser les hauts parleurs, la caméra et le contrôle à distance de l’aspirateur robot. En clair, si le pirate n’avait pas eu l’idée saugrenue de crier des injures racistes dans le micro, il aurait pu avoir un espion chez une famille américaine, surveillant leurs faits et gestes. Jusqu’à, imaginons le pire, cambrioler leur maison en leur absence.

Le DEEBOT X2 OMNI et son étonnant design carré // Source : ECOVACS
Le Deebot X2 et son étonnant design carré // Source : Ecovacs

Entre Ecovacs et le client, la faute est partagée

Mais Swenson, plutôt qu’un véritable malfrat, avait l’impression qu’il s’agissait plutôt d’un « adolescent », qui s’amusait à « passer de maison en maison en faisant peur aux familles ». Soulagement ? Pas vraiment. Car il reste un problème à élucider : certes, Swenson a fait une erreur en utilisant son mot de passe sur plusieurs services en ligne. Mais l’application est censée demander un code PIN, en guise de double vérification, pour éviter justement que des petits malins prennent le contrôle à distance des aspirateurs robots.

Et c’est là où Ecovacs, estime ABC, n’a pas bien fait les choses. Le média américain avait déjà réussi à hacker un aspirateur de la marque grâce à une faille Bluetooth et des hackers éthiques avaient montré en décembre 2023 que le contrôle du code PIN, uniquement vérifié par l’application, était défaillant. Ils pouvaient alors contourner cette protection. Ecovacs a affirmé, à la suite de ces révélations, avoir proposé un correctif sur ses robots permettant de bloquer ce hack. Malheureusement, le correctif n’a pas suffi et il est toujours possible de contourner la protection.

À la suite de cette affaire qui n’a heureusement pas fait de dégât, Ecovacs a affirmé qu’un nouveau correctif serait déployé en novembre 2024. En attendant, si vous avez un Deebot X2, configurez-le avec un mot de passe que vous n’avez utilisé ailleurs sur le web.

Les meilleurs Gestionnaires de mots de passe

Petit prix

NordPass

NordPass // Source : NordPass
  • Nouveau venu sur le secteur
  • Même groupe que NordVPN
Notre avis sur NordPass 1,29 € /mois
Valeur sûre

1Password

1Password // Source : 1Password
  • Le plus connu et l’un des plus vieux
  • Interface modernisée
Notre avis sur 1Password 2,99 € /mois
Qualité-prix

Dashlane

Dashlane // Source : Dashlane
  • Un gestionnaire français
  • Surveille le dark web
Notre avis sur Dashlane 4,40 € /mois
Voir tous les gestionnaires de MDP
une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !