Une vulnérabilité critique a été révélée dans l’application smartphone d’un important fabricant chinois d’aspirateurs robots, la rendant vulnérable à des fuites de données et d’identifiants si des hackers choisissent de l’exploiter.
Lorsque l’application Dreame est utilisée sur un réseau Wi-Fi public, comme dans un hôtel ou un aéroport, toute information envoyée sur Internet peut être consultée par l’administrateur du réseau. Cela pourrait inclure des identifiants de connexion, des informations personnelles ainsi que des données relatives à l’emplacement des appareils de l’utilisateur.
Les aspirateurs robots de Dreame sont équipés de caméras, de microphones et de connexions Internet, et sont vendus dans plus d’une douzaine de détaillants en Australie, dont plusieurs sont bien connus.
Cette vulnérabilité est la deuxième à toucher une grande entreprise de robotique domestique en deux ans, augmentant la pression sur les plans de l’Australie concernant le lancement d’un schéma de notation en cybersécurité pour les appareils connectés.
Le chercheur en sécurité Dennis Giese, qui a découvert une vulnérabilité distincte dans les aspirateurs robots d’Ecovacs l’année dernière, a tenté d’établir un contact avec Dreame depuis 2021.
« J’ai essayé de contacter un responsable de la sécurité pendant les quatre dernières années », explique Giese. « Mais ils m’ont effectivement ignoré. »
Après avoir échoué à établir un contact fiable avec Dreame, le chercheur a signalé la vulnérabilité à l’agence de cybersécurité américaine CISA, qui a reproduit l’exploitation et a assigné celle-ci à un niveau de “complexité d’attaque faible” dans un avis publié la semaine dernière. Cela signifie que le piratage n’est pas difficile à réaliser pour un attaquant sophistiqué.
La faille de sécurité — une configuration incorrecte de la vérification des certificats de sécurité dans l’application — permet aux administrateurs réseau de se faire passer pour les serveurs de Dreame et d’intercepter les données des utilisateurs.
« Les communications captées peuvent inclure les identifiants d’utilisateur et des jetons de session sensibles », indique l’avis de la CISA. « Dreame Technology n’a pas répondu à la demande de coordination de la CISA. »
ABC a également vérifié l’exploitation en connectant un smartphone à un réseau Wi-Fi que Giese avait configuré. Le point d’accès fonctionnait comme prévu, et le téléphone pouvait accéder à Internet normalement lorsque connecté. Cependant, en se connectant à l’application Dreame, le chercheur a pu intercepter notre mot de passe.
Dreame a indiqué avoir transféré les questions d’ABC aux “équipes concernées pour examen”, mais n’a pas répondu dans les délais impartis pour la publication. « Une déclaration formelle répondant à vos questions vous sera fournie une fois notre évaluation terminée », a déclaré l’entreprise dans un e-mail.
La sécurité certifiée par une entreprise de test multinationale
Dreame a fait certifier ses produits comme étant sécurisés par une tierce partie. L’entreprise de test multinationale TÜV SÜD a déclaré dans un communiqué de presse en 2022 qu’elle avait “effectué des tests de sécurité professionnels et des vérifications de documents” sur l’un des robots aspirateurs de Dreame. Elle continue de le faire pour de nouveaux modèles, dont un qui a été achevé aussi récemment qu’en août 2025. Il n’est cependant pas clair si l’application elle-même a été testée dans le cadre de ce processus de certification.
Cette certification est obligatoire pour les produits de maison intelligente vendus en Europe. Son intention est de détecter les failles de sécurité de base, mais plusieurs ont été négligées et plus tard découvertes par des chercheurs externes après la commercialisation des produits.
Lim Yong Zhi, ancien testeur en cybersécurité chez TÜV SÜD, a déclaré à ABC en 2024 que ces standards de certification pourraient donner aux consommateurs une “fausse impression de sécurité”.
L’Australie mettra en œuvre un schéma d’étiquetage intelligent
Les échecs répétés des certifications de cybersécurité internationales interviennent alors que l’Australie prépare son propre schéma, prévu pour 2027. En juillet, le gouvernement a annoncé un schéma d’étiquetage volontaire où les entreprises peuvent faire évaluer leurs appareils en matière de protections en cybersécurité.
« Les Australiens doivent pouvoir faire confiance aux appareils qu’ils introduisent dans leur foyer, afin de ne pas compromettre leur sécurité », a déclaré Tony Burke, le ministre australien de la cybersécurité. « Que ce soit un haut-parleur intelligent ou un aspirateur, les consommateurs sauront à quel point un produit est sûr avant de l’acheter. »
Au cours des dernières semaines, le ministère des Affaires intérieures a consulté des laboratoires de tests en cybersécurité australiens sur la conception du schéma. L’un des leaders du secteur contribuant à ces discussions est Anthony Barnes, PDG de Viden Labs.
Barnes recommande d’exiger des exigences supplémentaires sur la manière dont les dispositifs sont testés, y compris “des tests de vulnérabilité robustes et la divulgation”.
Il n’existe pas de solution sécurisée
Le département des Affaires intérieures collabore avec l’association IOT Alliance Australia (IOTA) pour concevoir le schéma. Frank Zeichner, PDG de l’IOTA, affirme qu’il est “assez clair” ce qui doit être testé par les laboratoires selon la norme ETSI EN 303 645.
« Il y a une dynamique [internationale] suffisante avec la norme ETSI pour que cela soit dans la bonne direction », dit-il. « Nous ne pouvons rien faire de unique car personne ne l’écoutera. Les fabricants l’ignoreront simplement. »
Une porte-parole du ministère des Affaires intérieures a déclaré que “le processus de co-conception prendra en compte les normes et les régimes d’étiquetage d’autres juridictions”. Zeichner a ajouté que le schéma pourrait ne couvrir que les appareils eux-mêmes, et non les applications auxquelles ils se connectent – ce qui signifie que la vulnérabilité de Dreame n’aurait pas été détectée.
« Il n’y a pas de sécurité absolue », a-t-il affirmé. « Il n’y a que des niveaux de sécurité plus élevés. »
Bon à savoir
- Les réseaux Wi-Fi publics sont souvent moins sécurisés, rendant les informations personnelles vulnérables.
- La certification par des tiers est essentielle pour garantir la sécurité des appareils connectés.
- Les dispositifs de maison intelligente doivent être régulièrement mis à jour pour préserver leur sécurité.
La question de la cybersécurité des appareils connectés est cruciale à l’heure où ces derniers prennent une place grandissante dans nos foyers. Il est essentiel d’évaluer la sécurité des produits avant de les acquérir, mais aussi de rester informé sur les mises à jour et les correctifs fournis par les fabricants pour garantir une meilleure protection.