Des pirates informatiques prennent le contrôle de nombreux aspirateurs Ecovacs aux États-Unis

Tous les produits attaqués étaient des aspirateurs Ecovacs Deebot X2s, un produit haut de gamme chinois coûtant près de 900 dollars. Le fabricant, Ecovacs, a reconnu la vulnérabilité.

Selon un rapport d'ABC News (Australie), des pirates informatiques ont exploité une vulnérabilité de sécurité pour pénétrer dans le système de l'aspirateur, provoquant l'émission de bruits similaires à des signaux radio brouillés et permettant aux attaquants de visualiser des images en direct via la caméra et d'accéder aux fonctions de contrôle à distance.

Malgré plusieurs changements de mot de passe et redémarrages, l'aspirateur continuait à se comporter de manière inexplicable. Ce qui effrayait le plus les propriétaires, c'était de découvrir que l'appareil les surveillait secrètement depuis longtemps.

Les chercheurs en sécurité ont alerté Ecovacs à plusieurs reprises sur de graves vulnérabilités de ses systèmes. Notamment, une vulnérabilité liée à la connectivité Bluetooth permet aux pirates de pénétrer facilement dans le modèle X2 à une distance allant jusqu'à 100 mètres. De plus, le code PIN protégeant le flux vidéo et la télécommande de cet aspirateur est également considéré comme trop faible et facilement déchiffrable.

Dans une interview accordée à ABC News, l'avocat du Minnesota Daniel Swenson a raconté sa terrible expérience lorsque son aspirateur a soudainement fait irruption dans le salon et a hurlé bruyamment devant sa femme et ses enfants. La voix de l'aspirateur ressemblait beaucoup à celle d'un adolescent, provoquant la panique de toute sa famille.

Une autre victime à Los Angeles a déclaré que son chien avait été poursuivi par un aspirateur le 24 mai, le même jour où l'avocat du Minnesota a subi un incident similaire.

Dans un communiqué officiel, le fabricant Ecovacs a confirmé les cyberattaques, tout en insistant sur le fait que ses systèmes n'avaient pas été directement compromis. L'entreprise a indiqué que les pirates informatiques ont exploité la réutilisation des mots de passe par les utilisateurs pour obtenir un accès non autorisé. Par conséquent, si un mot de passe est utilisé sur plusieurs plateformes différentes, les pirates peuvent l'utiliser pour pénétrer d'autres systèmes, y compris celui d'Ecovacs.

« Ecovacs a toujours accordé la priorité à la sécurité des produits et des données, ainsi qu'à la protection de la vie privée des consommateurs », a déclaré l'entreprise. « Nous garantissons à nos clients que nos produits offrent un niveau de sécurité élevé au quotidien, et que les consommateurs peuvent utiliser les produits Ecovacs en toute confiance. »

Une étude récente, présentée lors du Def Con, un événement annuel majeur dédié à la sécurité informatique, a révélé le risque important d'atteinte à la vie privée des utilisateurs d'aspirateurs. Des chercheurs ont démontré la capacité d'exploiter les failles de sécurité pour transformer cet appareil en outil de surveillance, traquant chaque activité domestique.

Ecovacs prévoit d'améliorer considérablement la sécurité de la série X2 grâce à une mise à jour logicielle prévue en novembre. Cependant, les utilisateurs doivent également contribuer à la protection de leurs appareils en créant des mots de passe forts et uniques et en s'assurant que leurs réseaux Wi-Fi sont bien sécurisés.

Parallèlement, une enquête PCMag de 2020 a soulevé des inquiétudes en matière de confidentialité lors de l'utilisation d'appareils intelligents, constatant qu'environ 68 % des personnes interrogées pensent que ces appareils collectent des données personnelles sans le consentement de l'utilisateur et partagent ces informations avec le fabricant.