L’ingénieur Sammy Azdoufal voulait simplement piloter son nouvel aspirateur robot avec une manette de jeu. Il a fini par découvrir une faille de sécurité mondiale exposant l’intimité de milliers de foyers.
L’histoire commence par une idée plutôt amusante. Le développeur Sammy Azdoufal souhaitait contrôler son tout nouvel aspirateur haut de gamme DJI Romo à l’aide de sa manette de PlayStation 5. Pour y parvenir, il s’est fait aider par l’intelligence artificielle Claude Code afin de comprendre comment l’appareil communiquait avec les serveurs distants de la marque chinoise. Son objectif se limitait à créer une petite application maison pour diriger son robot depuis son canapé et éventuellement lui faire émettre un son plaintif en cas de batterie faible.
En analysant le protocole de communication de l’appareil, il a réussi à extraire son propre jeton de sécurité numérique. La surprise est survenue lorsque les serveurs de l’entreprise ont commencé à lui renvoyer les données d’autres utilisateurs en accès libre. Le système de validation des autorisations était totalement défaillant. L’informaticien jure d’ailleurs qu’il n’a enfreint aucune règle et qu’il n’a utilisé aucune méthode de contournement ni aucune force brute pour en arriver là. Le cloud l’a tout simplement considéré comme l’administrateur légitime de milliers de machines à travers le monde.
Une intrusion massive dans la vie privée des utilisateurs
Les chiffres donnent véritablement le vertige. En l’espace de neuf minutes, l’ordinateur du Français a catalogué 6 700 appareils DJI répartis dans 24 pays différents. En ajoutant les stations d’alimentation portables de la marque connectées aux mêmes serveurs, il disposait d’un accès total à plus de 10 000 équipements.
Le niveau d’intrusion s’est révélé particulièrement inquiétant pour le respect de la vie privée. Avec un simple numéro de série, le développeur pouvait observer en direct la caméra de n’importe quel robot et écouter tout ce qu’il se passait via le microphone intégré. Face à cette situation rocambolesque, Sammy Azdoufal confie à la presse américaine qu’il trouve vraiment bizarre d’avoir un microphone sur un simple aspirateur. Il avait également la capacité de récupérer les plans précis en deux dimensions des domiciles cartographiés. L’ampleur de la faille a même poussé l’épouse de l’ingénieur à masquer immédiatement la caméra de leur propre appareil par précaution.
La défense très officielle du fabricant chinois
Alertée par l’ingénieur et par les médias, la firme DJI a fini par bloquer les accès frauduleux. Dans une longue déclaration officielle, l’entreprise assure qu’elle a identifié une vulnérabilité affectant DJI Home lors d’une revue interne fin janvier et a immédiatement lancé les actions correctives. Le constructeur ajoute que le problème a été résolu via deux mises à jour consécutives. Un premier correctif a été déployé le 8 février, puis une mise à jour complémentaire a été finalisée le 10 février. La marque précise que la correction a été déployée automatiquement et aucune action n’est requise de la part des utilisateurs.
I can confirm that @DJIGlobal has finally fixed the HUGE vulnerability they had on their servers.
This vulnerability was discovered by the very skillful @n0tsa , and he reported it to DJI.
It allowed to take remote control (movements, microphone, camera) of over 10 000 robots… pic.twitter.com/j1UunMmNXX
— Gonzague 👨🏼💻 (@gonzague) February 11, 2026
Pour rassurer ses clients, la direction rappelle que « DJI applique des standards élevés en matière de protection des données et de sécurité et dispose de processus établis pour identifier et corriger les vulnérabilités potentielles ». La société souligne qu’elle « a investi dans des technologies de chiffrement conformes aux standards du secteur et opère un programme de bug bounty de longue date ». Elle confirme « avoir examiné les conclusions et recommandations partagées par les chercheurs indépendants dans le cadre de son processus standard post-remédiation ». DJI conclut en promettant qu’elle « continuera à mettre en œuvre des améliorations de sécurité supplémentaires dans le cadre de ses efforts continus ».
Et si vous posiez encore la question, on peut effectivement contrôler un aspirateur DJI avec une manette de PlayStation 5.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
The Verge