Des centaines de milliers d’aspirateurs robots exposent le plan de votre maison sur Internet
En février, un développeur français a réussi à espionner 7 000 foyers en tentant de connecter sa manette PS5 à un aspirateur DJI. Aujourd’hui, la marque Shark fait face à une situation similaire, avec une faille de sécurité non corrigée depuis quatre mois, touchant des centaines de milliers d’appareils.
Les aspirateurs robots se révèlent être un maillon faible de la maison connectée. Des incidents précédents, tels qu’une prise de contrôle des micros et caméras d’Ecovacs en 2024, ainsi que l’espionnage de 7 000 logements par le biais du DJI Romo, soulignent cette vulnérabilité. Récemment, un chercheur en sécurité a démontré qu’en accédant au certificat d’un seul aspirateur Shark, il est possible de contrôler n’importe quel autre appareil de la même zone géographique. Cela permet d’accéder à des fonctionnalités sensibles, telles que la caméra embarquée, le plan du logement et le mot de passe WiFi.
Chaque aspirateur Shark connecté reçoit un certificat d’authentification, censé asr la communication exclusive avec les serveurs de la marque. Toutefois, une configuration défaillante permet à ces appareils de s’abonner aux flux de données de tous les aspirateurs Shark dans la même région cloud, créant ainsi une vulnérabilité majeure. Le service d’audit de sécurité d’AWS a classé cette faille comme « critique ».
Le chercheur a pu extraire ce certificat et a observé que 673 816 appareils avaient répondu à une commande de test sur un total de 1,5 million de numéros de série détectés, représentant environ 44 %. Il a également confirmé que d’autres modèles de la gamme étaient vulnérables.
Depuis le premier contact avec SharkNinja le 1er mars, aucune solution n’a été apportée. La faille a été rendue publique le 13 juillet, sans qu’aucun correctif ne soit proposé. Le fabricant n’a pas fourni d’identifiant officiel pour cette vulnérabilité, la rendant invisible pour les outils de gestion des risques.
Pour les utilisateurs européens, cette situation soulève des préoccupations concernant la protection des données personnelles, comme l’exigent le RGPD et le Cyber Resilience Act. En attendant, la seule solution recommandée est de déconnecter l’aspirateur du WiFi, ce qui limite considérablement ses fonctionnalités.
La politique de divulgation de SharkNinja promet des mises à jour régulières, mais après 137 jours, aucune communication n’a été faite. Le chercheur a également noté que d’autres produits connectés de la marque pourraient être affectés, soulevant des inquiétudes supplémentaires.
Source : The Hacker News
