Dans un article publié fin août, la hackeuse éthique BobdaHacker décrit sa dernière opération de piratage. Elle vise une nouvelle fois le secteur de la restauration, moins de deux semaines après avoir révélé les failles de sécurité chez McDonald’s.

« Alléger la tâche des collaborateurs tout en suscitant l’intérêt et la curiosité de votre clientèle » : telle est la promesse du fabricant chinois PUDU Robotic pour son robot serveur BellaBot.

Pour un peu moins de 15 000 euros, les professionnels de la restauration peuvent se doter d’un nouvel assistant en forme de chat, conçu pour « optimiser les opérations de service » grâce à ses quatre plateaux, chacun capable de supporter jusqu’à 10 kilos.

Disponible 7j/7, 365 jours par an et doté d’une autonomie de 12 à 24 heures, BellaBot a déjà trouvé du boulot dans plus de 1 000 villes à travers le monde.

Mais, voilà, l’employé ultra-serviable, apte à faire le beau quand on le salue, n’obéissait pas exclusivement à son personnel. Dans un article publié le 29 août 2025, BobdaHacker a démontré qu’une personne extérieure pouvait également donner des ordres à BellaBot.

bitdefender-logo
Bitdefender new Box
Votre vie privée doit rester privée.
Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.
Je protège ma vie privée simplement

La hackeuse éthique, ayant notamment connu un précédent notoire avec McDonald’s à la mi-août, ne semblait pas rassasiée et a cherché à alerter la marque chinoise sur ses trouvailles. Une démarche semée d’embuches.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par YouTube.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par YouTube avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.

Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.

Gérer mes choix

Un problème de permissions

L’enquête de BobdaHacker a débuté le 12 août 2025, lorsque la hackeuse a découvert que l’API permettant de contrôler les robots Pudu ne disposaient d’aucune vérification des permissions.

Il suffisait alors de disposer d’un token valide pour potentiellement prendre le contrôle des robots. Un précieux sésame qu’un acteur malveillant pourrait récupérer très facilement. En effet, un token est généré à la création d’un compte pour tester un robot avant de passer à l’achat.

En quelques lignes de code, BobdaHacker est parvenue à lister tous les robots d’une enseigne, consulter l’historique des commandes, modifier des paramètres comme leur surnom ou leur comportement, mais surtout la hackeuse éthique a pu contrôler des robots ne lui appartenant pas.

Pire, la faille exploitée par la hackeuse ne concernait pas uniquement BellaBot, mais bien une très large gamme des produits Pudu comme des robots d’entretien ou d’assistants sur les chantiers.

Une prise de contact chaotique

Après avoir mis au jour la faille, BobdaHacker a cherché à contacter les équipes de Pudu pour leur présenter les résultats de son piratage éthique. Les risques d’un détournement massif des robots de la marque étaient réels, d’autant que BellaBot officie dans les restaurants, mais également dans des hôtels et des hôpitaux, notamment en Asie.

Pourtant, la direction de Pudu n’a pas semblé prendre l’alerte au sérieux. Des équipes commerciales aux techniciens, en passant par le support client, toutes sont restées muettes face aux nombreux courriels de BobdaHacker.

Le 21 août, la hackeuse a décidé d’agir en contactant plus de cinquante employés du groupe, puis en se tournant vers les clients de Pudu. Trois partenaires commerciaux majeurs ont été avertis des vulnérabilités présentes dans les robots utilisés par leur entreprise. C’est seulement à cette étape que Pudu a fini par réagir.

La réponse, tardive et maladroite, est arrivée par e-mail. BobdaHacker a reçu un message manifestement rédigé par un chatbot type ChatGPT, où la mention [insérer votre adresse mail], typique des textes générés automatiquement, a été laissée à la fin du courrier.

Un raté de plus pour Pudu, mais l’essentiel est ailleurs, toutes les failles ont été corrigées en moins de 48 heures après la réception du message.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour ne rien manquer de l’actualité, suivez Numerama sur Google !