Les aspirateurs robots Ecovacs se distinguent une nouvelle fois par leur faible scurit. Un acteur de la menace a pris le contrle distance de plusieurs aspirateurs Ecovacs pour tourmenter les propritaires et leurs animaux domestiques. Il a utilis les aspirateurs robots pirats pour profrer des insultes racistes l’encontre de leurs propritaires et chasser les animaux domestiques dans des foyers amricains. Les chercheurs en scurit ont qualifi cette attaque de dystopie et appellent l’entreprise prendre les mesures ncessaires pour amliorer la scurit de ses appareils. L’incident relance le dbat sur les menaces de l’Internet des objets.
Quand les appareils domestiques connects Internet sment la panique
Les aspirateurs robots d’Ecovacs sont apparemment assez faciles pirater. La socit chinoise a une longue histoire de failles de scurit qui permettent des acteurs malveillants de faire ce qu’elles veulent avec ces petits aspirateurs, comme d’espionner leurs propritaires avec leur camra embarque. Ecovacs a t pirat nouveau dans plusieurs tats amricains le mois dernier et l’acteur de la menace n’a pas hsit troubler la tranquillit des propritaires.
L’attaquant a pris le contrle physique des aspirateurs et a utilis leurs fonctions audio internes pour profrer des insultes racistes envers les personnes se trouvant dans les maisons qui abritent les dispositifs pirats. Les propritaires ont d’abord entendu des voix brouilles provenant de leurs appareils, puis ont remarqu que la camra et les fonctions motrices de l’aspirateur taient actives via l’application de l’appareil. Ce qu’ils ont dcrit comme un cauchemar.
Tous les appareils concerns ont t fabriqus par Ecovacs, en particulier le modle Deebot X2. Le piratage a t confirm un client aprs qu’il a dpos une plainte auprs du service clientle d’Ecovacs. Il s’agit de la victime Daniel Swenson, un avocat bas dans le Minnesota. Il regardait la tlvision lorsqu’il a entendu des bruits bizarres en provenance de son aspirateur. Il a chang le mot de passe et l’a redmarr. Toutefois, les bruits bizarres ont recommenc.
Puis l’aspirateur s’est mis lui adresser des insultes racistes. De nombreux incidents similaires ont t signals aux tats-Unis la mme poque. L’un d’eux s’est produit Los Angeles, o un aspirateur a poursuivi un chien tout en prononant des propos haineux. Un autre s’est produit El Paso, o l’aspirateur a profr des insultes jusqu’ ce que son propritaire l’teigne. Les victimes ignorent si l’attaquant les a espionns dans des endroits comme la salle de bain.
Les attaques sont apparemment assez faciles raliser grce plusieurs failles de scurit connues dans les Ecovacs, comme un mauvais connecteur Bluetooth et un systme PIN dfectueux qui est cens protger les flux vido et l’accs distance, mais qui, en ralit, ne fait rien de tout cela. Nos plus jeunes enfants prennent des douches l’intrieur. J’ai pens qu’il pourrait attraper mes enfants ou mme moi, vous savez, sans tre habill , a dclar Daniel Swenson.
Les appareils IdO fabriqus par Ecovacs sont truffs de failles de scurit
Les appareils de l’Internet des objets (IdO) inquitent depuis longtemps les experts en cyberscurit et les utilisateurs en raison des nombreuses vulnrabilits dont ils souffrent. En aot 2024, des chercheurs en cyberscurit ont dcouvert de multiples vulnrabilits dans les produits Ecovacs (y compris des tondeuses gazon) pouvant permettre un acteur de la menace de prendre le contrle des microphones et des camras via des connexions mobiles Bluetooth.
Pour le dire simplement, les chercheurs ont conclu que la scurit de l’entreprise tait vraiment, vraiment, vraiment, vraiment mauvaise . Des lments de conception destins protger les utilisateurs, tels qu’une alerte sonore indiquant que la camra de l’aspirateur est active, peuvent tre facilement dsactivs. Selon certains rapports, la socit chinoise a une approche laxiste en matire de cyberscurit et certains critiques la souponnent de le faire exprs.
Deux chercheurs en cyberscurit ont publi en dbut d’anne un rapport sur Ecovacs dtaillant les multiples failles de scurit de la marque. Il semble que l’entreprise n’ait pas encore rsolu toutes ses failles critiques et qu’elle ne croie pas non plus que ses aspirateurs puissent tre pirats, du moins selon la victime Daniel Swenson, qui affirme que le service clientle d’Ecovacs ne l’a pas cru lorsqu’il a dclar que son aspirateur prononait le mot ngre son gard.
La plainte de Daniel Swenson a dclench une enqute qui a rvl que l’acteur de la menace avait probablement contourn les mesures de scurit d’Ecovacs pour rquisitionner les camras, les microphones et les commandes de locomotion des aspirateurs. Le maillon faible tait un code PIN quatre chiffres, qui ne pouvait tre vrifi que par l’application, et non par le serveur ou le robot, ce qui permettait un initi de contourner cette mesure de protection.
Un porte-parole d’Ecovacs a dclar que la faille a t corrige depuis et s’est engag mettre jour le Deebot X2. Nanmoins, la faille illustre la facilit avec laquelle un attaquant peut obtenir des donnes dans notre socit sature de technologie. En 2022, il a t dcouvert que les serveurs qui contrlent les robots travaillant dans les hpitaux prsentaient d’importantes lacunes de scurit, ce qui les rendait susceptibles d’tre exploits par des cybercriminels.
Mme les gadgets destins assurer notre scurit ne sont pas ncessairement srs. En 2019, un homme de l’Alabama a poursuivi la socit Ring, spcialise dans les camras et sonnettes de scurit, aprs avoir affirm qu’un individu avait dtourn son appareil et s’tait moqu de ses enfants. Ring est la proprit d’Amazon. On ne sait pas combien d’aspirateurs ont t touchs par ce piratage potentiellement grande chelle ni qui sont les auteurs de l’attaque.
Cependant, Daniel Swenson souponne ses harceleurs d’tre des adolescents en train de faire une farce, en juger par la voix du robot. Les chercheurs ont indiqu qu’une fois qu’un robot Ecovacs est compromis, si l’appareil se trouve porte d’autres robots Ecovacs, ces derniers peuvent galement tre pirats.
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la scurit des aspirateurs robots et des autres appareils d’Ecovacs ?
Que pensez-vous des risques lis l’Internet des objets ? Tous les appareils sont-ils bons connecter Internet ?
Voir aussi