Les robots tondeuses Yarbo, vendus autour de 5 000 dollars pièce, présentaient une faille de sécurité grave : tous les appareils de la marque partageaient le même mot de passe administrateur, accessible à distance via Internet.
C’est Andreas Makris, chercheur allemand en cybersécurité, qui a mis au jour ce problème. Sa découverte a ensuite été confirmée et rendue publique avec l’aide du média américain The Verge.
Un mot de passe universel sur toute la flotte
Chaque tondeuse Yarbo fonctionne sous Linux et dispose d’un accès root protégé par un mot de passe identique sur l’ensemble des modèles. Ce code se réinitialise à chaque mise à jour du firmware, ce qui empêche tout propriétaire de le modifier durablement.
Une fois connecté à un seul appareil, Makris a pu accéder à l’ensemble des robots Yarbo actifs dans le monde. Depuis cette position, il était possible de consulter les coordonnées GPS des propriétaires, leurs adresses e-mail et leurs mots de passe Wi-Fi. Les flux vidéo captés par les caméras embarquées étaient également accessibles.
Makris a aussi constaté que la télémétrie des appareils était acheminée vers des serveurs liés à ByteDance, la société chinoise propriétaire de TikTok. The Verge a par ailleurs établi que Yarbo, officiellement domiciliée à New York, semblait en réalité opérer depuis Shenzhen, en Chine.
Des risques concrets pour les propriétaires
Pour illustrer l’ampleur de la faille, le chercheur a localisé plusieurs propriétaires à partir des données collectées. The Verge en a rencontré certains directement, dont un ancien architecte réseau de Microsoft qui avait pourtant isolé sa tondeuse sur un réseau invité séparé.
Makris a également repéré trois appareils Yarbo à proximité d’une centrale énergétique sensible. L’un d’eux semblait appartenir à un analyste spécialisé dans la sécurité nucléaire. Ces tondeuses, connectées au réseau domestique de leurs propriétaires, constituaient autant de points d’entrée potentiels vers des systèmes bien plus critiques.
Les robots Yarbo pèsent plus de 90 kilogrammes et sont équipés de lames, de caméras, du Wi-Fi et d’une connexion 4G. Leur prise de contrôle à distance ouvre aussi la possibilité de les enrôler dans un botnet pour mener des activités illicites via le réseau de leur propriétaire.
Une réponse insuffisante de Yarbo
Lorsque Makris a signalé la faille à Yarbo en suivant la procédure habituelle de divulgation responsable, la marque a minimisé le problème. Elle a présenté ce choix de conception comme une décision volontaire, destinée selon elle à faciliter les interventions techniques à distance sur les appareils.
Face à cette réponse, Makris a choisi de rendre la vulnérabilité publique avec l’aide de The Verge. Yarbo a depuis corrigé certaines failles au niveau de son application, mais les problèmes liés au firmware des appareils n’ont pas encore été résolus.
Un rappel sur les risques des objets connectés
Cette affaire illustre les risques que représente chaque objet connecté intégré à un réseau domestique. Un appareil physiquement imposant, capable de se déplacer et équipé de capteurs multiples, constitue une surface d’attaque particulièrement préoccupante lorsque sa sécurité repose sur des fondations aussi fragiles.
La transparence des fabricants en matière de sécurité reste un critère essentiel à évaluer avant tout achat d’équipement connecté, surtout lorsqu’il s’agit d’appareils motorisés opérant en autonomie dans un espace privé.
Source : SlashGear
