Des pirates informatiques prennent le contrôle de nombreux aspirateurs Ecovacs aux États-Unis
Aux États-Unis, plusieurs propriétaires d'aspirateurs ont signalé que leurs appareils avaient été piratés. Des pirates ont exploité des failles de sécurité pour accéder aux caméras et aux télécommandes, les faisant émettre des bruits gênants et même poursuivre les animaux domestiques dans la maison.
Tous les produits concernés étaient des aspirateurs Ecovacs Deebot X2s, un produit haut de gamme chinois coûtant près de 900 $. Le fabricant Ecovacs a reconnu la vulnérabilité.
Selon un rapport d'ABC News (Australie), des pirates informatiques ont profité d'une vulnérabilité de sécurité pour infiltrer le système de l'aspirateur, provoquant l'émission de bruits similaires à des signaux radio brouillés et permettant aux attaquants de visualiser des images en direct via la caméra et d'accéder aux fonctions de contrôle à distance.
.jpg)
Malgré plusieurs changements de mot de passe et redémarrages, l'aspirateur continuait à fonctionner de manière inexplicable. Ce qui effrayait le plus les propriétaires, c'était de découvrir que l'appareil les surveillait secrètement depuis longtemps.
Les chercheurs en sécurité ont alerté Ecovacs à plusieurs reprises sur de graves vulnérabilités de ses systèmes. La plus notable est une vulnérabilité liée à la connectivité Bluetooth, qui permet aux pirates de pénétrer facilement dans le modèle X2 à une distance allant jusqu'à 100 mètres. De plus, le code PIN protégeant le flux vidéo et les fonctions de télécommande de cet aspirateur est également considéré comme trop faible et facilement déchiffrable.
Dans une interview accordée à ABC News, l'avocat du Minnesota Daniel Swenson a raconté l'expérience terrifiante de son aspirateur qui a soudainement fait irruption dans le salon et a hurlé devant sa femme et ses enfants. La voix qui sortait de l'aspirateur ressemblait beaucoup à celle d'un adolescent, provoquant la panique de toute la famille.
Une autre victime à Los Angeles a déclaré que son chien avait été poursuivi par un aspirateur le 24 mai, le même jour où l'avocat du Minnesota a subi un incident similaire.
Dans un communiqué officiel, le fabricant Ecovacs a confirmé les cyberattaques, tout en insistant sur le fait que ses systèmes n'avaient pas été directement compromis. L'entreprise a indiqué que les pirates informatiques ont profité de la réutilisation des mots de passe par les utilisateurs pour obtenir un accès non autorisé. Par conséquent, si un mot de passe est utilisé sur plusieurs plateformes, les pirates peuvent l'utiliser pour pénétrer d'autres systèmes, y compris celui d'Ecovacs.
« Ecovacs a toujours accordé la priorité à la sécurité des produits et des données, ainsi qu'à la protection de la vie privée des consommateurs », a déclaré l'entreprise. « Nous garantissons à nos clients que nos produits offrent un niveau de sécurité élevé au quotidien et que les consommateurs peuvent utiliser les produits Ecovacs en toute confiance. »
Une nouvelle étude présentée lors de la conférence Def Con, un événement annuel majeur dédié à la sécurité informatique, a révélé les graves risques pour la vie privée liés à l'utilisation des aspirateurs. Des chercheurs ont démontré la capacité d'exploiter les failles de sécurité pour transformer l'appareil en outil de surveillance, traquant chaque activité domestique.
Ecovacs prévoit d'améliorer considérablement la sécurité de la série X2 grâce à une mise à jour logicielle prévue en novembre. Cependant, les utilisateurs doivent également contribuer à protéger leurs appareils en créant des mots de passe forts et uniques et en s'assurant que leurs réseaux Wi-Fi sont bien sécurisés.
Entre-temps, une enquête PCMag de 2020 a soulevé des inquiétudes en matière de confidentialité lors de l'utilisation d'appareils intelligents, constatant qu'environ 68 % des personnes interrogées pensent que ces appareils collectent des données personnelles sans le consentement de l'utilisateur et partagent ces informations avec le fabricant.