Des centaines de milliers d’aspirateurs robots exposent le plan de votre maison sur Internet

En février, un développeur français voulait juste brancher sa manette PS5 à son aspirateur DJI et avait fini par espionner 7 000 foyers. Shark fait mieux : une faille non corrigée depuis quatre mois touche des centaines de milliers d’appareils.
Il y a quelque chose d’un peu décourageant à voir les aspirateurs robots s’imposer, mois après mois, comme le maillon faible de la maison connectée. La série est maintenant bien documentée : Ecovacs en 2024 (des chercheurs avaient pris le contrôle de micros et caméras à distance), le DJI Romo en février (un développeur avait, en voulant bidouiller son appareil avec une manette PS5, espionné 7 000 logements dans 24 pays), et maintenant la marque Shark. Un chercheur en sécurité a démontré qu’en s’emparant du certificat d’un seul aspirateur, il est possible de prendre la main sur n’importe quel autre appareil Shark de la même zone géographique. Caméra embarquée, plan du logement cartographié session après session, mot de passe WiFi en clair : tout devient accessible. Quatre mois après l’alerte, SharkNinja n’a fourni ni correctif ni référence officielle pour la faille.
Lire aussi : Les meilleurs robots aspirateurs laveurs en juillet 2026
Comment la clé de votre aspirateur ouvre aussi celui du voisin
Chaque aspirateur Shark connecté reçoit, à la fabrication, un certificat d’authentification (une sorte de badge numérique) qui est censé lui permettre de dialoguer uniquement avec les serveurs de la marque, et seulement pour ses propres données. Le problème : chez Shark, ce badge est configuré avec des droits bien trop larges. Il autorise l’appareil à s’abonner aux flux de données de l’ensemble des aspirateurs Shark hébergés dans la même région cloud, et à leur envoyer des commandes. Pas de mot de passe à deviner, pas de code malveillant à injecter : juste une erreur de configuration que personne n’a corrigée. Le service d’audit de sécurité d’AWS la classe d’ailleurs comme « critique » dans sa propre documentation.
Le chercheur tokay0 a extrait ce certificat de son propre appareil (avec un tournevis et une console de débogage laissée grand ouverte par le fabricant, sans mot de passe), puis l’a utilisé pour envoyer des commandes à d’autres aspirateurs Shark. À la clé : accès à la caméra embarquée, récupération du plan du logement et lecture du mot de passe WiFi en clair. Il a également prouvé que d’autres modèles de la gamme restaient vulnérables aux commandes à distance, du moment que leur logiciel embarqué accepte d’exécuter des instructions reçues par ce canal (ce qui est le cas, même quand leur propre certificat est correctement configuré).
En observant les échanges sur l’infrastructure cloud pendant 24 heures dans une seule région, le chercheur a recensé 673 816 appareils ayant répondu à une commande de test (sur 1,5 million de numéros de série détectés, soit 44 %). Ces chiffres désignent des appareils observés, pas des appareils compromis. La portée est bornée par région : un certificat extrait en Europe n’atteint que les appareils de la zone AWS européenne. C’est, à peu de choses près, la seule limite de cette faille.
Quatre mois sans réponse : que faire avec votre Shark ?
Depuis que le chercheur a contacté SharkNinja le 1er mars, l’histoire suit un scénario bien rodé dans la cybersécurité. Accusé de réception rapide, rapport « en cours d’examen » fin avril, promesse d’une date de résolution pour le 10 juillet, puis silence complet. La faille a été rendue publique le 13 juillet, sans correctif. Le fabricant a aussi remis en question la pertinence d’un numéro CVE pour ce problème : aucun identifiant officiel n’existe à ce jour. La faille est donc invisible pour les outils de gestion des vulnérabilités en entreprise.
Pour les utilisateurs européens, l’affaire ne se résume pas à un problème technique. Des flux vidéo de salon, des plans de logement et des identifiants réseau accessibles à un tiers non autorisé : c’est exactement le type de données personnelles dont le RGPD exige la protection active. Les sanctions prévues atteignent jusqu’à 4 % du chiffre d’affaires mondial. Le Cyber Resilience Act européen, dont les principales obligations entrent en vigueur en 2027, imposera par ailleurs aux fabricants d’objets connectés de traiter les vulnérabilités signalées dans des délais contraints.
En attendant, la seule parade disponible est de déconnecter l’aspirateur du WiFi (ce qui lui retire programmation, cartographie et pilotage à distance, autant dire l’essentiel de ce pour quoi on l’a acheté). La bonne nouvelle : la correction est entièrement du côté des serveurs de SharkNinja, sans mise à jour à installer côté utilisateur. En 137 jours, elle n’a pas eu lieu.
La politique de divulgation de SharkNinja promet des mises à jour régulières « jusqu’à ce que la vulnérabilité signalée soit résolue ». Cent trente-sept jours après la première alerte, les appareils restent exposés et le fabricant n’a publié aucune communication. Le chercheur note par ailleurs n’avoir pas examiné le reste de la gamme connectée de la marque (notamment les grills et les sondes à viande Ninja), et juge la situation « probablement » applicable à ces produits. De quoi redonner envie de cuisiner à l’ancienne.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
The Hacker News
Un projet web ou mobile en tête ?
Démarrer un projet