Le DJI Romo rappelle une évidence : un aspirateur-robot, ce n’est pas qu’un appareil ménager, c’est un objet connecté qui cartographie votre intérieur. Quand une faille ouvre l’accès à ces données, la question n’est plus la saleté… mais la sécurité !

À force de voir les aspirateurs-robots comme de simples assistants ménagers, on oublie un détail gênant : ils se déplacent partout, observent tout, et stockent beaucoup d’informations sur nos habitudes et notre intérieur. Le cas du DJI Romo le remet brutalement sur la table, avec une histoire de cybersécurité qui ressemble moins à un “bug technique” qu’à un rappel à l’ordre. Sans céder à la panique, on va voir ce que ça implique concrètement, pourquoi ça concerne plus de monde qu’on le croit, et surtout quoi faire, dès maintenant, pour réduire le risque sans renoncer au confort.

Dans la suite, on remet les faits à plat, et nous tenterons de mettre en exergue ce que ce genre d’incidents implique pour tous les utilisateurs-robots. Nous en profiterons pour rappeler les bons réflexes à appliquer pour éviter toute infiltration numérique !

Nota Bene : ce n’est pas une première alerte. En novembre dernier, nous avions appris comment certains robots pouvaient remonter en continu de la télémétrie et des cartes du domicile vers le cloud, au point que couper cette collecte pouvait devenir problématique.

DJI est-il un outsider crédible en 2026 sur le marché des aspirateurs-robots ?

Une manette pour les gouverner tous

L’histoire part d’un cas presque banal : un utilisateur du nom de Sammy Azdoufal bricole une commande alternative pour son DJI Romo… et tombe sur un problème autrement plus sérieux. À l’origine, il ne cherchait pas à “pirater” quoi que ce soit. L’idée était même plutôt innocente : piloter son DJI Romo avec une manette de PS5.

Pour y arriver, il a donc fait ce que font beaucoup de passionnés quand un produit est trop verrouillé : il a essayé de comprendre comment l’appli officielle parle au robot, puis a codé un petit logiciel maison pour se connecter aux services DJI avec son propre jeton d’authentification Et c’est là que le “projet manette” a dérapé : une fois connecté aux serveurs DJI (notamment via un système de messagerie temps réel de type MQTT), son application n’a pas reçu uniquement les infos de son robot. Des milliers d’autres Romo ont répondu comme s’ils faisaient partie du même salon de discussion.

D’après les enquêtes publiées, les données potentiellement exposées incluent notamment :

• la cartographie du domicile (plans, trajectoires de nettoyage),
• la position et l’état du robot (activité, batterie, logs, diagnostics),
• des flux caméra et audio quand la configuration était favorable.

DJI, de son côté, a reconnu un problème de validation des permissions côté backend (et non un souci de chiffrement : la marque affirme que les communications étaient en TLS), tout en minimisant la fréquence d’abus réels. Selon DJI, une première mise à jour aurait été publiée, puis une seconde a suivi afin de s’assurer que la correction soit bien effective sur l’ensemble des appareils concernés.

De quoi faut-il se méfier avec ce type d’appareil ?

Ça n’aura échappé à personne qui lit nos articles : en soi, un aspirateur-robot est un capteur mobile. Il récupère des données pour pouvoir travailler : plans du logement, position en temps réel, historique d’activité… mais elles ne sont pas censées circuler !

À commencer par la carte d’intérieur, puisqu’il s’agit d’une représentation exploitable du logement, et de plus en plus détaillée de surcroît : organisation des pièces, zones de passage, parfois obstacles récurrents, et donc indirectement habitudes et routines, etc.. Autre point de vigilance : la caméra et le micro ! On parle ici de vue et son potentiellement accessibles à distance. Dans le cas Romo, plusieurs sources évoquent la possibilité d’accéder à des flux caméra (et parfois audio) en fonction des appareils et des réglages.

Nota Bene : une enquête de l’ABC a montré qu’il était possible, sur certains robots, d’observer en direct via la caméra et d’accéder à des contenus associés.

Au-delà de ces cas concrets, ce qu’il faut comprendre, c’est que le même problème peut survenir, quel que soit le fabricant : quand un objet est connecté, dépend du cloud et que les droits d’accès (permissions) sont mal cloisonnés, chaque faille devient une porte d’entrée potentielle : plus il y a d’intermédiaires et d’autorisations, plus la surface d’attaque s’élargit.

Quelques réflexes à adopter pour continuer à profiter de la domotique…

Il existe quelques bonnes pratiques pour réduire l’exposition au maximum. Il convient de les rappeler régulièrement et de les partager :

Bien sûr, ce sera toujours plus facile en choisissant un modèle proposant un suivi logiciel sérieux, une politique de confidentialité lisible, des options d’effacement des données (cartes, historiques), des paramètres de consentement détaillés, et une durée de support garantie longtemps.

Nota Bene : certaines marques mettent en place un canal officiel pour signaler les failles (divulgation responsable), parfois un bug bounty, et surtout une communication transparente avec des correctifs clairs quand un incident survient.

DJI Romo : l’électroménager connecté n’a plus droit à l’à-peu-près

Le cas DJI Romo n’est pas une raison de jeter son robot à la poubelle, mais c’est un rappel brutal : dès qu’un appareil cartographie un logement (et parfois embarque caméra/micro), la cybersécurité devient une condition de base. Et ici, le cœur du problème n’était pas un “petit bug” : c’était une histoire de permissions mal cloisonnées côté cloud, et ce n’est pas une faille anodine !

DJI a fait une partie du job : la marque a réagi, publié des correctifs et dispose d’une vitrine “security” (canal de signalement, bug bounty). Mais l’épisode révèle aussi des faiblesses difficiles à balayer : un premier patch incomplet, un déploiement visiblement pas uniforme, et une communication qui laisse parfois l’impression qu’on cherche à rassurer plus vite qu’à expliquer. Bref : l’urgence a été traitée, mais l’incident rappelle que “connecté” implique des risques structurels, surtout quand l’appareil dépend fortement du cloud.

En vous, pourriez-vous encore faire confiance à un ROMO ? Pensez-vous que les aspirateurs-robots peuvent, à terme, devenir des outils de surveillance à grande échelle, façon Big Brother ?