Fin février 2026, une information a brièvement traversé les médias spécialisés, sans provoquer le débat qu’elle méritait. Un ingénieur passionné de technologie, vivant à Barcelone, aurait découvert une faille majeure en tentant simplement de piloter son robot aspirateur connecté à l’aide d’une manette de PlayStation 5. Son objectif était ludique, presque anodin. Il voulait détourner les commandes classiques de l’application mobile pour diriger son appareil autrement.
Selon plusieurs médias internationaux, il s’agirait d’un ingénieur qui semble espagnol. En explorant le protocole de communication entre l’application et les serveurs du fabricant, il aurait constaté que les mécanismes d’authentification lui permettaient non seulement d’interagir avec son propre robot, mais également d’accéder à des milliers d’unités similaires réparties dans le monde.
Les articles publiés par la presse française détaillent l’ampleur de la découverte. Le Parisien évoque un accès potentiel à près de 7 000 appareils, avec la possibilité de consulter les planimétries complètes des logements, d’activer les caméras embarquées et d’interagir avec les microphones intégrés.
https://www.leparisien.fr/high-tech/acces-a-la-camera-au-micro-et-au-plan-de-maison-un-ingenieur-reussit-a-prendre-le-controle-de-7-000-aspirateurs-robots-a-travers-le-monde-25-02-2026-UQY2O7KUXZGYDJYVPBXQ3YW2EU.php
TF1 Info rapporte que la vulnérabilité concernait les robots DJI Romo, commercialisés par le groupe chinois DJI, déjà connu pour ses drones, et que le correctif aurait été déployé automatiquement par le fabricant après notification.
https://www.tf1info.fr/high-tech/un-plan-complet-de-toutes-les-pieces-7000-aspirateurs-robots-dji-hackes-par-hasard-par-un-francais-2427057.html
L’incident aurait été corrigé. Mais l’essentiel n’est pas là . Ce qui importe, c’est ce que révèle cet épisode sur notre modèle de sécurité domestique.
L’illusion de la protection domestique
Nous croyons protéger notre maison connectée avec un mot de passe Wi Fi robuste, un routeur récent, parfois un antivirus sur l’ordinateur principal. Nous avons internalisé l’idée que la sécurité se joue au niveau du réseau local. Or, l’affaire du robot aspirateur montre que la surface d’attaque dépasse largement ce périmètre.
Un robot aspirateur connecté moderne n’est pas un simple appareil ménager. Il cartographie l’espace, identifie les pièces, mémorise les zones, adapte ses trajectoires. Cette cartographie est envoyée vers le cloud pour traitement et synchronisation. Elle devient un actif informationnel. Elle décrit la structure de votre domicile avec une précision souvent supérieure à celle d’un simple plan architectural.
Lorsqu’un tiers accède à ces données, il ne voit pas seulement un salon et une chambre. Il observe une organisation spatiale, des habitudes de nettoyage, des zones interdites, parfois des indices sur la présence ou l’absence des occupants. La maison devient une base de données.
Ce déplacement du risque est fondamental. La vulnérabilité n’est pas entrée par le Wi Fi du foyer. Elle a traversé l’architecture distante du fabricant. Cela signifie que la sécurité domestique dépend désormais d’infrastructures que l’utilisateur ne contrôle pas.
Couverture contre total des actifs critiques
Dans le monde de l’entreprise, la sécurité repose sur un indicateur simple, la couverture des actifs critiques. On compare le nombre d’actifs réellement maîtrisés au nombre total d’actifs sensibles. À domicile, nous ne faisons pas cet exercice.
Un actif critique domestique n’est pas seulement un ordinateur ou un NAS. C’est tout dispositif capable de collecter des données sensibles ou d’offrir un point d’entrée vers le réseau interne. Le robot aspirateur en fait partie, au même titre que les caméras IP, les assistants vocaux, les téléviseurs connectés ou les systèmes d’alarme intelligents.
Plus le nombre d’objets connectés augmente, plus le total des actifs critiques croît. Si le niveau de maîtrise ne progresse pas au même rythme, la couverture diminue.
Quand un appareil ménager devient un pivot réseau
Un robot aspirateur compromis peut ne pas être la cible finale. Il peut servir de relais. Dans un réseau domestique mal segmenté, un appareil IoT vulnérable peut permettre une exploration latérale, une identification des autres équipements connectés, parfois un accès indirect à des ressources plus sensibles.
La question n’est pas de savoir si chaque robot aspirateur sera piraté. La question est de comprendre que chaque nouvel appareil augmente la surface d’exposition systémique.
Analyse technique, exposition mesurable
Pour objectiver le phénomène, on peut modéliser un foyer connecté typique.
Supposons un domicile équipé de douze actifs critiques, comprenant un routeur, un NAS, deux ordinateurs, trois smartphones, deux caméras IP, une télévision connectée, un robot aspirateur et un assistant vocal.
Si seuls cinq de ces actifs sont correctement configurés, segmentés, mis à jour et protégés par authentification renforcée, la couverture réelle est de 5 sur 12, soit environ 41 pour cent.
| Catégorie | Nombre | Actifs maîtrisés |
| Infrastructure réseau | 1 | 1 |
| Stockage personnel | 1 | 1 |
| Postes informatiques | 2 | 2 |
| Smartphones | 3 | 1 |
| Caméras IP | 2 | 0 |
| Télévision connectée | 1 | 0 |
| Robot aspirateur | 1 | 0 |
| Assistant vocal | 1 | 0 |
Couverture = 5 / 12 = 41 %
Si deux nouveaux objets connectés sont ajoutés sans amélioration de la sécurité, la couverture devient 5 / 14, soit 35 pour cent.
L’exposition augmente mécaniquement.
On peut également estimer un risque pondéré. Supposons que la cartographie générée par le robot représente 30 pour cent de la valeur informationnelle domestique. Si la probabilité annuelle d’exploitation d’une vulnérabilité IoT est estimée à 10 pour cent, le risque pondéré associé à ce seul appareil équivaut à 3 pour cent de l’exposition totale du foyer connecté.
Ce chiffre semble faible isolément. Il devient significatif lorsque l’on cumule plusieurs dispositifs comparables.
Un futur qui n’améliore pas automatiquement la sécurité
La tendance est claire, plus de capteurs, plus de cloud, plus d’intégrations, plus de dépendances. Chaque innovation ajoute un actif critique supplémentaire. Or, la gouvernance domestique ne suit pas cette inflation technologique.
Nous avons industrialisé la collecte de données à domicile sans industrialiser la gestion du risque.
Le cas du robot DJI Romo ne doit pas être interprété comme un accident isolé. Il constitue un signal faible d’un modèle de sécurité qui évolue plus lentement que la technologie elle-même.
Prendre le contrôle d’un robot aspirateur connecté ne signifie pas simplement déplacer un appareil dans un salon. Cela peut signifier accéder à la cartographie d’un domicile, observer des habitudes, exploiter une faiblesse cloud, contourner les protections locales, ou utiliser un objet banal comme point d’entrée vers un réseau domestique.
La sécurité ne se mesure plus à la robustesse d’un mot de passe Wi Fi. Elle se mesure à la couverture réelle des actifs critiques.
Et aujourd’hui, cette couverture est souvent largement surestimée.
Ă€ propos de l’auteur : https://lnkd.in/dqP-RAUp