Une tondeuse robot autonome pesant près de 90 kilos, équipée de lames et connectée à internet, représente un risque concret si elle est mal sécurisée. C’est précisément la situation que révèle une analyse de sécurité portant sur le modèle Yarbo, vendu environ 5 000 dollars.
L’appareil peut aussi fonctionner comme souffleur de feuilles, chasse-neige ou bordurière. Cette polyvalence n’a pas empêché des failles importantes de passer inaperçues, jusqu’à ce qu’un chercheur les documente et les rende publiques.
Des failles qui vont au-delà du simple piratage
Le chercheur en sécurité a identifié plusieurs vulnérabilités permettant à un attaquant de prendre le contrôle de la machine à distance. Cela inclut l’accès au flux de la caméra embarquée, ainsi que la récupération d’informations personnelles : adresse e-mail du propriétaire, mot de passe Wi-Fi et localisation du domicile.
La démonstration a été particulièrement directe. Face au porte-parole de Yarbo, qui affirmait que l’environnement de diagnostic n’était pas accessible publiquement, le chercheur et un journaliste ont prouvé le contraire en pilotant la tondeuse piratée en direction du journaliste lui-même. L’engin a failli le percuter.
Ce type de démonstration illustre une réalité souvent sous-estimée : un objet connecté doté de capacités physiques dangereuses et mal sécurisé n’est plus seulement un risque pour les données, mais pour l’intégrité physique des personnes à proximité.
Une réponse du fabricant encore partielle
Yarbo a indiqué travailler sur un correctif pour au moins l’une des failles identifiées. Cette formulation laisse entendre que d’autres vulnérabilités restent en suspens, sans calendrier précis de résolution annoncé publiquement.
Ce cas s’inscrit dans un contexte plus large de sécurité défaillante dans l’univers des objets connectés grand public. Des milliers d’applications développées rapidement, sans processus rigoureux de sécurisation, ont récemment été retrouvées exposées sur internet, révélant des données d’entreprises et d’utilisateurs. La tondeuse Yarbo en est une illustration physique et tangible.
Un problème structurel pour les objets connectés
Les appareils domestiques connectés sont de plus en plus nombreux à disposer de capteurs, caméras et accès réseau. Leur sécurité repose souvent sur des architectures conçues rapidement, avec une priorité donnée aux fonctionnalités plutôt qu’à la protection des données et à l’intégrité du système.
Dans le cas de Yarbo, les données récupérables par un attaquant (mot de passe Wi-Fi, localisation précise du domicile) suffisent à compromettre bien davantage que la tondeuse elle-même. Un réseau domestique entier peut devenir accessible à partir de cette unique brèche.
Ce que cela implique pour les utilisateurs
Acquérir un appareil connecté coûteux ne garantit pas un niveau de sécurité proportionnel au prix. Dans le cas de Yarbo, un investissement de 5 000 dollars n’a pas empêché des failles permettant une prise de contrôle à distance complète.
Avant d’intégrer un appareil autonome dans un environnement domestique, il est utile de vérifier si le fabricant publie des bulletins de sécurité, propose des mises à jour régulières et dispose d’un processus de signalement des vulnérabilités. Ces critères, souvent absents des fiches produit, conditionnent pourtant la sécurité réelle de l’appareil sur la durée.
Source : Wired
