Un ingénieur utilise Claude pour analyser l'API de DJI et découvre une faille permettant l'accès aux caméras dans 24 pays

Un test technique s'est transformé en alerte internationale lorsque l'utilisation de Claude, le modèle d'IA de Anthropic, pour analyser l'API des aspirateurs intelligents de DJI, a permis à un ingénieur de découvrir une vulnérabilité critique. Cette faille permettait un accès à distance aux caméras en direct, aux plans internes des propriétés et même au contrôle des appareils dans 24 pays.

La découverte a fait sensation car elle révèle deux réalités inconfortables : le pouvoir croissant de l'intelligence artificielle pour analyser des codes complexes et la fragilité persistante de la sécurité des appareils connectés.

Ce que l'ingénieur a découvert

L'idée initiale était simple : utiliser Claude pour aider à la rétro-ingénierie de l'API, c'est-à-dire comprendre comment l'application et les serveurs de DJI communiquaient avec les aspirateurs. Le modèle a été utilisé pour interpréter les requêtes, les jetons d'authentification et les modèles de réponse du backend.

C'est là que le problème est apparu.

Le système de DJI acceptait n'importe quel jeton valide, sans vérifier si ce jeton appartenait réellement à l'appareil accédé. En termes simples : si quelqu'un avait un jeton d'utilisateur légitime, il pouvait consulter les données de pratiquement n'importe quel aspirateur connecté à la plateforme.

En pratique, cela signifiait qu'il était possible de :

• Voir les diffusions en direct des caméras intégrées dans les aspirateurs
• Accéder aux données de SLAM (technologie qui crée des cartes internes des maisons)
• Obtenir des plans numériques des propriétés
• Envoyer des commandes à distance aux appareils

L'ampleur était mondiale : des appareils actifs dans 24 pays étaient potentiellement exposés.

Pourquoi est-ce si grave ?

Les appareils de l'IoT (Internet des Objets) opèrent dans des environnements privés : salons, chambres, bureaux. Les aspirateurs intelligents modernes ne se contentent pas de nettoyer le sol ; ils cartographient chaque pièce, identifient les obstacles et, pour certains modèles, transmettent des vidéos en direct à l'utilisateur.

Une faille de vérification de propriété à ce niveau transforme un appareil ménager en une potentielle porte d'entrée pour une surveillance indue.

Le plus impressionnant est que la vulnérabilité n'a pas été découverte par une équipe traditionnelle d'audit de sécurité, mais lors de l'utilisation d'une IA pour analyser le code et la structure de l'API.

IA comme outil d'audit

L'épisode renforce un point qui prend de l'ampleur dans le secteur : les modèles de langage avancés deviennent extrêmement efficaces pour lire, interpréter et analyser le code.

Claude n'a rien "piraté" par lui-même. Il a été utilisé comme assistant technique, aidant à interpréter les réponses de l'API et à structurer des hypothèses. Pourtant, le fait que la faille ait été identifiée dans ce processus montre comment les outils d'IA peuvent accélérer les audits — révélant même des vulnérabilités critiques presque par accident.

Réponse rapide de DJI

L'ingénieur a signalé le problème de manière responsable à DJI. Selon des rapports, l'entreprise a corrigé la faille en environ deux jours, fermant la brèche d'authentification.

La rapidité de la réponse est positive ; cependant, le cas soulève une question inévitable : combien d'autres API d'appareils connectés fonctionnent encore avec des validations fragiles, se fiant uniquement à des jetons sans vérification adéquate de la propriété ?

L'histoire est devenue virale car elle est à la fois curieuse et intrigante, un aspirateur domestique pouvant être piraté et ses données mises en danger, et préoccupante pour ce qu'elle révèle sur la sécurité numérique dans les environnements privés.

En fin de compte, l'épisode ne concerne pas seulement un bogue dans un produit spécifique, mais le nouveau paysage technologique où les intelligences artificielles sont capables d'auditer des systèmes complexes avec une efficacité impressionnante et sur l'urgence pour les entreprises de renforcer la sécurité avant que la prochaine faille n'apparaisse et tombe entre de mauvaises mains.