Flux RSS
Le robot aspirateur se met à jurer : la faute d'un hacker
Curiosité
11 octobre 2024 10h42

Le robot aspirateur jure et insulte à cause des hackers : l'entreprise s'excuse

Cecco Prestina
Partager

Robot aspirateur qui insulte, jure et utilise un langage raciste et vulgaire : cela s'est produit à plusieurs reprises aux États-Unis et à cause d'une attaque de hacker. Tout cela découle de l'histoire racontée sur le réseau social Reddit par l'utilisateur Daniel Swenson, un citoyen américain qui a vécu une expérience vraiment troublante. Alors que son fils était présent, le robot aspirateur a commencé à prononcer des phrases injurieuses et discriminatoires. Swenson, initialement incrédule, s'est immédiatement rendu compte qu'il s'agissait d'une attaque de pirate informatique. "J'avais l'impression que c'était un petit garçon", a déclaré Swenson. "Peut-être qu'ils sautaient simplement d'un appareil à l'autre, embêtant les familles."

LIRE LES AUTRES NOUVELLES CURIEUSES

Swenson, bien que bouleversé par l'incident, était toujours soulagé que les pirates aient annoncé leur présence de manière si visible. Selon lui, cela aurait été bien pire s'ils avaient décidé d'observer sa famille en silence à l'intérieur de leur maison. En effet, les robots aspirateurs sont équipés de caméras et de microphones qui pourraient être utilisés pour espionner les gens sans qu’ils s’en rendent compte. "C'était un choc", a admis Swenson.

Le robot aspirateur dispose de caméras et de haut-parleurs

Même si son fils n'a pas pleinement compris la gravité de la situation, Swenson a décidé de prendre toutes les précautions nécessaires. Il a emmené le robot aspirateur dans le garage et ne l'a plus jamais utilisé. Malheureusement, le cas de Swenson n’est pas isolé. Aux États-Unis, plusieurs personnes ont signalé des incidents similaires de piratage d’aspirateurs robots à quelques jours d’intervalle.

Le 24 mai, le même jour que l'attaque de Swenson, un Deebot X2 a commencé à poursuivre le chien de son propriétaire dans la maison. Le robot était contrôlé à distance et émettait des commentaires offensants via des haut-parleurs. Quelques jours plus tard, un autre appareil a été piraté. Un robot Ecovacs à El Paso a commencé à lancer des insultes racistes à son propriétaire jusqu'à ce que celui-ci le débranche. On ne sait pas exactement combien d’appareils de l’entreprise ont été piratés au total.

Six mois avant les attentats, des chercheurs en sécurité avaient tenté d'informer le fabricant Ecovacs de graves vulnérabilités dans ses robots aspirateurs et dans l'application qui les contrôle. Le plus grave était un défaut dans le connecteur Bluetooth qui permettait un accès complet à l'Ecovacs X2 à plus de 100 mètres. Le système de code PIN qui protège le flux vidéo du robot et la fonction de télécommande était également connu pour être défectueux, et le son d'avertissement censé retentir lorsque la caméra est observée pourrait être désactivé à distance.

Ecovacs a admis une faille de sécurité

Ces problèmes de sécurité pourraient expliquer comment les pirates ont pris le contrôle de plusieurs robots dans des endroits distincts et ont pu surveiller silencieusement leurs victimes une fois à l'intérieur. Dans les jours qui ont suivi des accidents avec son robot aspirateur Ecovacs, Daniel Swenson a porté plainte auprès de l'entreprise. Après quelques échanges avec le personnel d'assistance, il a reçu un appel téléphonique d'un cadre supérieur d'Ecovacs basé aux États-Unis. "Il a dû répéter trois ou quatre fois que je devais avoir une vidéo de ce qui s'était passé", a déclaré Swenson. « À chaque fois, je lui disais : « ouais, ce serait génial, mais j'étais plus concentré sur le fait qu'un robot piraté était au milieu de mon salon, nous observait et peut-être nous enregistrait. »

L'employé ne semblait pas croire ce qu'il disait, selon Swenson, bien que plusieurs autres propriétaires aient signalé des attaques similaires à peu près au même moment. Suite à cet appel téléphonique, Swenson a été informé qu'une « enquête de sécurité » avait été menée. "Votre compte et votre mot de passe Ecovacs ont été acquis par une personne non autorisée", lui a dit un représentant de l'entreprise par e-mail. La société a également déclaré avoir identifié l'adresse IP du coupable et l'avoir désactivée pour empêcher tout accès ultérieur.

Il y a eu une intrusion dans des comptes privés

Dans un e-mail de suivi, ils lui ont indiqué qu'il y avait « une forte probabilité que votre compte Ecovacs ait été affecté par une cyberattaque de type 'credential stuffing' ». Cela se produit lorsqu’une personne réutilise le même nom d’utilisateur et le même mot de passe sur plusieurs sites Web et que la combinaison est volée lors d’une autre cyberattaque. La société a déclaré à ABC qu'elle n'avait « trouvé aucune preuve » que les comptes avaient été piratés par « une violation des systèmes d'Ecovacs ».

Même si Swenson avait utilisé le même nom d'utilisateur et le même mot de passe sur d'autres sites, et si ces informations d'identification avaient été diffusées en ligne, cela n'aurait pas dû suffire pour accéder au flux vidéo ou contrôler le robot à distance. Ces fonctionnalités doivent être protégées par un code PIN à quatre chiffres. Cependant, deux chercheurs en sécurité ont révélé qu’il pourrait être contourné lors d’une conférence sur le piratage en décembre 2023.

Les chercheurs avaient alerté Ecovacs du problème avant de rendre public l'exploit. Un porte-parole d'Ecovacs a déclaré que cette faille avait désormais été corrigée, mais Giese a déclaré à ABC que le correctif de l'entreprise était insuffisant pour combler la faille de sécurité. Le porte-parole a également déclaré que la société avait « envoyé un e-mail rapide » demandant aux clients de modifier leurs mots de passe à la suite de l'incident. Ecovacs a annoncé qu'il publierait une mise à jour de sécurité pour les propriétaires de sa série X2 en novembre.


Suivez-nous également sur Google News : Cliquez ici