Un robot aspirateur Deebot X2 de la marque Ecovacs a crié des insultes racistes. Le pirate informatique avait accès au robot et à ses caméras.
Coïncidence : alors que mon Ecovacs Deebot vient de crier pour me demander de déverrouiller son laser qui lui permet de mesurer des distances, je suis tombé sur un témoignage publié sur le média américain ABC qui part de la même situation, se terminant par un cauchemar de cybersécurité. Daniel Swenson, un avocat américain, regardait tranquillement la télévision avec sa famille lorsque son robot aspirateur s’est mis à bouger et à émettre des sons déroutants, comme du bruit blanc. Pensant qu’il s’agissait d’un bug, il le remit sur sa station de recharge et retourna dans son canapé. C’est là que tout s’est mal passé.
Le robot s’est remis à bouger et cette fois il a commencé à proférer des insultes racistes. Paniqué, Swenson a tout débranché, a mis la machine dans son garage et s’est précipité pour contacter la société chinoise Ecovacs pour savoir ce qui s’était passé. Après qu’un expert ait demandé des vidéos de l’interaction, ce que Swenson n’avait pas, Ecovacs a fini par trouver une explication plausible : son nom d’utilisateur et son mot de passe étaient les mêmes partout sur le Web et ont été divulgués lors d’un piratage d’une autre entreprise. Ecovacs a affirmé n’avoir subi aucun vol de données.
Cyberattaques : quand l’humain est le maillon faible
Avec U-Cyber 360°, la société française Mailinblack vous permet de protéger votre organisation et de sensibiliser vos collaborateurs à la cybersécurité.
Du gestionnaire de mots de passe à la sécurité des emails, en passant par la formation continue et les simulations d’attaques, cette solution rassemble tous les outils pour prévenir les cyber-risques.
Laisser le même mot de passe partout vous expose à ce type de piratage plutôt simple à réaliser. On comprend alors qu’un hacker, en possession des identifiants de Swenson, a pu se connecter à l’application Ecovacs et utiliser les enceintes, la caméra et la télécommande du robot aspirateur. En clair, si le hacker n’avait pas eu l’idée folle de crier des insultes racistes dans le micro, il aurait pu avoir un espion dans une famille américaine, surveillant leurs agissements. Jusqu’à ce qu’imaginons le pire, cambrioler leur maison en leur absence.
Entre Ecovacs et le client, la faute est partagée
Mais Swenson, plutôt qu’un véritable voyou, avait l’impression qu’il était plutôt un « adolescent », qui s’amusait « à aller de maison en maison pour effrayer les familles ». Relief ? Pas vraiment. Car il reste un problème à éclaircir : certainement, Swenson a commis une erreur en utilisant son mot de passe sur plusieurs services en ligne. Mais l’application est censée demander un code PIN, en guise de double vérification, pour empêcher les gens malins de prendre le contrôle à distance des robots aspirateurs.
Et c’est là qu’Ecovacs, estime ABC, n’a pas bien fait les choses. Les médias américains avaient déjà réussi à pirater un aspirateur de la marque grâce à une faille Bluetooth et des hackers éthiques avaient montré en décembre 2023 que le contrôle du code PIN, uniquement vérifié par l’application, était défaillant. Ils pourraient alors contourner cette protection. Ecovacs a affirmé, suite à ces révélations, avoir proposé un correctif sur ses robots pour bloquer ce hack. Malheureusement, le correctif n’a pas suffi et il est toujours possible de contourner la protection.
Suite à cette affaire qui n’a heureusement causé aucun dégât, Ecovacs a affirmé qu’un nouveau patch serait déployé courant novembre 2024. En attendant, si vous possédez un Deebot X2, configurez-le avec un mot de passe que vous n’avez utilisé nulle part ailleurs sur le site. la toile.
Les meilleurs gestionnaires de mots de passe
Quel est le meilleur gestionnaire de mots de passe ?
Quel est le meilleur gestionnaire de mots de passe en 2024 ?
Retrouvez nos tests complets
