Il y a quelques mois, nous vous racontions l’histoire de ce développeur « un peu paranoïaque » qui avait fini par démonter son aspirateur connecté pour l’empêcher d’envoyer des informations à l’autre bout du monde.
Cette fois, le décor change : l’appareil n’est plus un iLife A11, mais un DJI Romo, et le protagoniste est davantage joueur que méfiant. Mais, une constante demeure. Les aspirateurs connectés peuvent parfois obéir à d’autres forces que celles de leur propriétaire.
Dans un article retraçant cette découverte fortuite, publié le 14 février 2026, Sammy Azdoufal explique qu’à la base, son projet consistait simplement à connecter son aspirateur à une manette de PlayStation. Une expérience qui lui a permis de découvrir une faille majeure dans la gestion des permissions backend chez DJI, lui donnant accès à environ 7 000 aspirateurs Romo dispersés un peu partout dans le monde.
Près de 7000 aspirateurs en accès libre
Pour décrypter les communications des aspirateurs DJI, Sammy Azdoufal s’est appuyé sur l’IA Claude Code et a créé une application capable de repérer tous les appareils connectés.
Un fonctionnement parfaitement expliqué par nos confrères de Frandroid : pour interagir avec leurs serveurs, les aspirateurs DJI s’appuient sur un système appelé MQTT, pour Message Queuing Telemetry Transport.
Le problème, c’est qu’une fois connecté avec son propre code d’accès (token), le serveur ne vérifie pas si vous êtes le propriétaire des données demandées. Et avec un seul numéro de série, Sammy était donc en mesure d’espionner tous les autres.
Les résultats auxquels il est parvenu sont impressionnants. Lors d’un test présenté à The Verge, le bidouilleur a récolté de nombreuses données sur un aspirateur situé à des milliers de km : la pièce qu’il nettoyait, son niveau de charge, le plan 2D précis de l’appartement, et même sa position approximative via l’adresse IP.
« Neuf minutes après le début de l’opération, l’ordinateur portable d’Azdoufal avait déjà répertorié 6 700 appareils DJI répartis dans 24 pays et collecté plus de 100 000 de leurs messages », raconte Sean Hollister, journaliste de The Verge et témoin du test. Il précise qu’en ajoutant les stations d’alimentation portables DJI Power, Azdoufal avait accès à plus de 10 000 appareils.
DJI de nouveau dans la tourmente
Le test est allé encore plus loin lorsque Sammy Azdoufal a ouvert le flux vidéo en direct de son propre DJI Romo, contournant complètement son code de sécurité.
Ce qui frappe dans cette histoire, c’est que tous les tests ont été réalisés sans pirater les serveurs de DJI, comme le rappelle le principal protagoniste : « Je n’ai enfreint aucune règle, je n’ai utilisé aucune méthode de contournement, aucune force brute, rien de tout cela. »
S’il devait y avoir une bonne nouvelle dans cette affaire : la veille du test, DJI avait déjà restreint l’accès aux caméras et microphones après le signalement de Sammy Azdoufal et du journaliste de The Verge. La faille de scan généralisé a, quant à elle, été colmatée le lendemain.
Une réaction post-signalement qui ne devrait pas apaiser les inquiétudes sur la cybersécurité de DJI. L’entreprise a bien reconnu un « problème de validation des autorisations côté serveur » qui aurait théoriquement permis à des pirates d’accéder aux flux vidéo en direct, mais en a minimisé sa portée : « Bien que ce problème ait créé un risque théorique d’accès non autorisé à la vidéo en direct de l’appareil ROMO, notre enquête confirme que les occurrences réelles étaient extrêmement rares. Presque toutes les activités identifiées étaient liées à des chercheurs en sécurité indépendants testant leurs propres appareils à des fins de rapport, à quelques rares exceptions près. »
Pour rappel, DJI tente de faire patte blanche après l’interdiction de ses drones aux États-Unis depuis fin 2025. Cette découverte ne plaide pas en sa faveur : « C’est vraiment bizarre d’avoir un microphone sur un aspirateur », relève Sammy Azdoufal.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !