Un ingénieur logiciel bricole une application pour contrôler son aspirateur robot avec une manette de jeu vidéo. Résultat inattendu : il se retrouve avec un accès non autorisé aux flux vidéo, aux micros et aux plans d’étage de 7 000 foyers dans 24 pays. Cette histoire, survenue début 2025, n’est pas un scénario de film de science-fiction. C’est ce qui s’est passé avec le DJI Romo, et elle illustre mieux que n’importe quel discours ce que votre aspirateur robot sait réellement sur vous, et ce qu’il fait de ces informations.
À retenir
- Une vulnérabilité critique a exposé les plans détaillés et les flux vidéo de milliers de foyers sans protection
- Les données de cartographie révèlent bien plus que la disposition de votre maison : habitudes, revenus, occupation
- Deux réglages simples peuvent bloquer 90% des risques de fuite de données
Un plan de votre maison stocké quelque part dans un cloud
La plupart des aspirateurs robots créent des cartes détaillées de votre maison : grâce à des capteurs lidar, infrarouges ou visuels, ils dessinent des plans d’étage, détectent les obstacles et mémorisent la disposition des pièces. Ça, la plupart des gens le savent vaguement. Ce qu’ils ignorent souvent, c’est ce qui arrive à ces données ensuite.
Deux approches coexistent chez les fabricants : certains envoient les données de la carte vers des serveurs distants pour traitement, ce qui peut permettre des fonctionnalités avancées comme la programmation à distance. La sécurité de vos données dépend alors des mesures de sécurité du cloud de l’entreprise. le plan précis de votre appartement parisien ou de votre maison en Bretagne repose sur des serveurs dont vous ne contrôlez ni la localisation ni la robustesse.
Les aspirateurs robotisés peuvent apprendre votre routine quotidienne en fonction du programme de nettoyage que vous avez défini. Les plans des maisons sauvegardées révèlent la taille et la conception d’une maison, ce qui peut suggérer des niveaux de revenus ou d’occupation. Et ce n’est pas tout. Tous les appareils intelligents collectent des métadonnées : données environnementales comme la localisation, données liées aux commandes vocales, identifiants des réseaux Wi-Fi auxquels l’appareil se connecte. Le tableau est complet.
La faille DJI : quand un hobby devient une alerte mondiale
En début d’année 2025, Sammy Azdoufal, ingénieur logiciel, a découvert par hasard une vulnérabilité critique dans l’infrastructure cloud du fabricant DJI. Alors qu’il développait une application maison pour contrôler son aspirateur avec un joystick, il a obtenu un accès non désiré aux flux vidéo, aux micros et aux plans d’étage de milliers de foyers.
D’après lui, près de 7 000 appareils répartis dans vingt-quatre pays sont devenus consultables : flux vidéo en direct, micros, plans des habitations et données d’activité. L’ingénieur a choisi de signaler le problème plutôt que d’en abuser, et la faille a depuis été corrigée via deux mises à jour automatiques, déployées les 8 et 10 février 2025. Mais cette histoire n’est pas un cas isolé.
Un chercheur en sécurité a reçu 30 000 dollars pour avoir prouvé qu’il pouvait pirater un aspirateur robot populaire, regarder à travers sa caméra et voler la carte détaillée d’un domicile, depuis internet. Ce n’était pas un bug anecdotique : c’est le signe d’un problème bien plus large avec les appareils connectés, souvent conçus pour être lancés rapidement plutôt que d’être sécurisés. Xiaomi a payé la prime, corrigé la faille, mais le fait qu’elle ait existé reste le vrai sujet.
Et le LiDAR, ce laser qui sert à cartographier les pièces ? Des chercheurs sont parvenus à enregistrer les signaux de ce laser et à en extraire des sons, comme des voix humaines, avec un taux de réussite de 90 %. Sans micro. Sans caméra. Juste en exploitant les variations de lumière renvoyée par des objets qui vibrent sous l’effet du son ambiant. Le niveau d’ingéniosité est effrayant.
Le réglage à couper en premier (et les autres)
La vraie question n’est pas de jeter votre aspirateur, mais de reprendre le contrôle de ce qu’il transmet. Être sélectif dans les réglages et dans les données que l’aspirateur peut recueillir est un moyen de garder un semblant de contrôle sur votre vie privée. Voici par où commencer, dans l’ordre de priorité.
Le partage de données avec le cloud est le réglage numéro un à désactiver. Certaines marques privilégient le traitement des données directement sur l’appareil lui-même : la carte vit dans la mémoire interne du robot, ne quittant jamais votre maison. Si votre application propose un mode « local uniquement » ou « sans cloud », activez-le maintenant. Vous perdrez peut-être la consultation à distance, mais votre plan d’étage ne transitera plus par des serveurs tiers.
Tenez votre robot hors des zones sensibles : loin des chambres, des salles de bain, de tout endroit où des données ou images compromettantes pourraient être capturées en cas de piratage. Désactiver la cartographie dans ces zones est particulièrement utile pour les modèles équipés de caméras. Concrètement, programmez des « zones interdites » dans l’application, fonction disponible sur la majorité des modèles récents.
Connectez votre aspirateur robot à un réseau Wi-Fi invité séparé. Cela crée une séparation avec vos appareils principaux comme les ordinateurs portables et les téléphones. Un réseau Wi-Fi invité, ça prend cinq minutes à configurer dans les paramètres de votre box, et c’est probablement la mesure la plus efficace contre les risques de propagation en cas de compromission.
Changez les mots de passe par défaut sur votre aspirateur, votre application domotique et votre réseau Wi-Fi. L’authentification à deux facteurs, si disponible, renforce la sécurité de vos données. Et maintenez le firmware de votre robot à jour, car ces mises à jour incluent souvent des correctifs de sécurité importants qui protègent votre appareil contre les vulnérabilités.
Le paradoxe du confort connecté
Mon opinion là-dessus est franche : on a accepté collectivement d’installer des appareils cartographes dans nos maisons sans vraiment lire les conditions d’utilisation. Eufy avait par exemple affirmé que ses caméras n’envoyaient jamais de vidéo dans le cloud, mais des testeurs indépendants ont trouvé des flux vidéo non chiffrés accessibles en ligne. Trop souvent, les promesses de confidentialité ne correspondent pas au comportement réel de l’appareil.
Aucune des entreprises d’aspirateurs robots testées ne mérite une bonne note en matière de confidentialité des données. Les informations qu’elles fournissent sont vagues au mieux lorsqu’il s’agit d’expliquer quelles données sont collectées et comment. En France, le RGPD vous donne théoriquement le droit de demander la suppression de vos données : la plupart des applications proposent cette option, souvent enfouie dans les paramètres du compte, sous « confidentialité » ou « gestion des données ». Un droit qu’il vaut mieux exercer que laisser dormir.
Un dernier détail qui mérite d’être connu : les aspirateurs robots respectueux de la vie privée sont ceux qui s’appuient sur une mesure inertielle combinant gyroscopes et accéléromètres. Ces appareils n’ont pas besoin de caméras, de lasers ou de cartographie pour fonctionner. Le revers : ils se déplacent moins efficacement que leurs homologues haut de gamme et risquent de traverser plusieurs fois certaines zones de votre maison. Un choix entre efficacité et discrétion qui, maintenant que vous connaissez les enjeux, vous appartient entièrement.
Sources : futura-sciences.com | futura-sciences.com