NumeramaL'aspirateur connecté qui fait tache en laissant ses données en accès libre
Il voulait juste jouer à la PlayStation avec son aspirateur. À la place, il a mis le doigt sur une faille qui pouvait exposer des milliers de foyers, plans d’appart’ compris.
À la base, Sammy Azdoufal voulait juste s’amuser un peu en pilotant son aspirateur robot DJI Romo avec une manette PlayStation. Oui, bon, OK. On s’amuse comme on peut, parole de connaisseur :-)
Sauf qu’en creusant les échanges réseau (avec l’aide de Claude Code), il tombe sur un énorme bug côté serveur : une fois connecté, le backend ne vérifie pas les demandes. Résultat : avec un simple numéro de série, il peut « voir » les autres Romo — environ 7 000 aspirateurs, dans 24 pays, et plus de 100 000 messages aspirés en quelques minutes.
Au menu : pièce nettoyée, batterie, plan 2D ultra précis du logement, position via IP… et même un contournement du code de sécurité pour le flux vidéo de son appareil. Le plus flippant ? « C’est vraiment bizarre d’avoir un microphone sur un aspirateur ». DJI a vite patché après signalement, mais l’histoire fait tache.