DJI a versé 30 000 dollars à une personne qui avait involontairement piraté 7 000 robots aspirateurs Romo

Brève chronologie : vulnérabilités DJI Romo et réaction du fabricant

Étape Que s’est passé Réaction de l’entreprise
Février – découverte des problèmes Les propriétaires de robots‑aspirateurs DJI Romo ont identifié plusieurs failles critiques. Un utilisateur, essayant de contrôler l’appareil via une manette Sony PlayStation, a constaté un réseau de 7 000 robots à distance ouvrant l’accès aux flux vidéo d’autres maisons.
DJI a annoncé son intention de verser une récompense pour la découverte de la vulnérabilité.
Reconnaissance publique Dans un communiqué sur The Verge, il est indiqué qu’un utilisateur nommé *Sammy Azdoufal* a reçu 30 000 USD. Cependant l’entreprise n’a pas divulgué les détails précis de la faille ni mentionné le nom dans ses documents officiels. DJI a souligné que la vulnérabilité permettait de visionner un flux vidéo sans saisir de code PIN ; la correction a été déployée d’ici fin février.
Découverte d’un problème plus grave Une des failles identifiées s’est avérée potentiellement plus dangereuse, mais ses détails n’ont pas été rendus publics. Sur son blog officiel, l’entreprise a annoncé des plans « de modernisation complète du système » et a lancé une série de mises à jour devant être entièrement déployées dans le mois suivant.
Remerciements aux chercheurs DJI a noté que les problèmes avaient été découverts en interne mais a exprimé sa gratitude envers deux experts indépendants en sécurité pour leur contribution. L’entreprise a souligné son engagement à collaborer avec la communauté des chercheurs et a promis prochainement de proposer de nouvelles voies de coopération.
Certificats et questions de fiabilité DJI a rappelé que Romo possède les certificats ETSI, EU et UL. Pourtant une personne a réussi à contourner le système de sécurité via le service Claude Code, soulevant des doutes quant à l’efficacité réelle de ces certifications. Dans son communiqué, l’entreprise a mis en avant « son engagement à approfondir la collaboration avec la communauté des chercheurs en cybersécurité ».

Résultats :

DJI a versé 30 000 USD au chercheur ayant découvert une faille dans le flux vidéo de Romo. Parallèlement, l’entreprise a lancé un vaste programme de mise à jour et de renforcement de la protection de ses robots‑aspirateurs, tout en reconnaissant la nécessité d’une coopération plus étroite avec les chercheurs indépendants en sécurité. Malgré la présence des certificats ETSI, EU et UL, le fait qu’un réseau de 7 000 appareils ait été compromis soulève des questions sur la fiabilité réelle des mesures de protection mises en place.