Breaking
Atef Najib jugé avec au moins dix chefs d'accusation lors d'un procès historique en SyrieLe secteur oléicole néo-zélandais reste confiant après la fermeture d'un producteur de WairarapaLa Chine prononce des peines de mort avec sursis contre d'anciens ministres de la DéfenseL'Afrique du Sud dénonce des vidéos « truquées » sur la xénophobie, le Ghana réclame une mission de l'UAAtef Najib jugé avec au moins dix chefs d'accusation lors d'un procès historique en SyrieLe secteur oléicole néo-zélandais reste confiant après la fermeture d'un producteur de WairarapaLa Chine prononce des peines de mort avec sursis contre d'anciens ministres de la DéfenseL'Afrique du Sud dénonce des vidéos « truquées » sur la xénophobie, le Ghana réclame une mission de l'UA
Vesper
ENESFRTR
Se connecterS'inscrire
Graphiques
Articles :SportSantéHistoireTech
Markets
EUR/USD1.1773 0.11%GBP/USD1.3616 0.04%USD/JPY156.66 0.07%USD/CHF0.7774 0.14%AUD/USD0.7243 0.13%USD/CAD1.3669 0.08%USD/CNY6.8159 0.22%USD/INR94.48 0.01%USD/BRL4.9175 0.07%USD/ZAR16.39 0.20%USD/TRY45.37 0.01%Gold$4,715.70BTC$80,985 0.61%ETH$2,337 0.99%SOL$94.41 1.70%
Tech

Yarbo publie un plan de sécurité de 1 200 mots après la démonstration de piratage de ses tondeuses robotisées

The Vergeil y a 8 h
ShareXWhatsAppTelegramLinkedIn
Tondeuse robotisée dans un jardin
Photo: Magic K / Pexels

Le fabricant chinois de tondeuses robotisées Yarbo a publié une réponse de 1 200 mots reconnaissant de graves failles de sécurité dans ses appareils, à la suite d'un article paru la semaine dernière dans The Verge dans lequel un chercheur en sécurité avait démontré que les machines pouvaient être détournées, exposant les données des utilisateurs — coordonnées GPS, mots de passe Wi-Fi, adresses e-mail — et les machines elles-mêmes. L'entreprise reconnaît les vulnérabilités, a temporairement désactivé l'accès à distance et présente un plan de correction permanent.

La recherche de sécurité a été menée par le chercheur indépendant Mike Walters. Walters a montré qu'il pouvait prendre le contrôle de n'importe quelle tondeuse robotisée Yarbo qu'il ne possédait pas, en connaissant uniquement les six derniers caractères de l'adresse MAC de l'appareil et les quatre premiers chiffres de son numéro de série. Ces deux informations figurent sur une petite étiquette présente sur chaque appareil Yarbo et peuvent aussi être obtenues à distance par une recherche de revendeur Yarbo. Walters a utilisé la vulnérabilité pour démontrer l'attaque : il a pris la main sur une tondeuse, l'a fait rouler dans le jardin de son propriétaire et l'a même fait passer sur le chemin d'un reporter du Verge.

Le communiqué de Yarbo indique : « Nous avons vérifié de manière complète les conclusions de Mike Walters. Les vulnérabilités décrites existaient exactement telles que présentées — notre système d'accès à distance n'utilisait pas des couches de sécurité suffisantes pour l'authentification des clients. » L'entreprise a officiellement remercié Walters pour ses découvertes et annoncé qu'un programme de récompense indépendante en recherche de sécurité de 5 000 dollars serait lancé dans les prochains mois.

La gravité des failles est amplifiée par le fait que les tondeuses robotisées peuvent être physiquement dangereuses. Les modèles L20 et L25 de Yarbo ont la taille d'un chien moyen — environ 25 kg — et sont équipés de lames rotatives tranchantes. Un pirate pourrait les diriger vers une propriété voisine plutôt que celle du propriétaire ; ils peuvent constituer un danger pour des personnes, des animaux domestiques ou de jeunes enfants. Le fait que le reporter se soit tenu sur la trajectoire de la tondeuse durant la démonstration de Walters servait d'avertissement complet à ce risque physique.

Le plan annoncé par Yarbo comporte cinq volets principaux. Premièrement, l'accès à distance a été totalement désactivé à titre temporaire ; les appareils détenus ne fonctionnent actuellement qu'en Wi-Fi local, sur la base d'un nouveau protocole d'authentification. Cela signifie que les clients perdent des fonctionnalités importantes de l'application — par exemple le contrôle à distance pendant les vacances — mais Yarbo dit préférer cette perte jusqu'à la fin de la correction.

Deuxièmement, l'authentification basée sur la combinaison adresse MAC+numéro de série a été entièrement supprimée et remplacée par un système chiffré de bout en bout, fondé sur des clés à usage unique. Troisièmement, une mise à jour micrologicielle obligatoire est diffusée vers tous les appareils existants ; cette mise à jour corrige également sept failles supplémentaires que Yarbo a divulguées séparément. Quatrièmement, l'infrastructure cloud de Yarbo est entièrement réarchitecturée ; le bucket de stockage divulgué que Walters a découvert a été supprimé et la nouvelle architecture est auditée par les évaluateurs de sécurité dédiés d'AWS.

Cinquièmement, Yarbo désignera dans les prochains mois un cabinet d'audit de sécurité tiers — vraisemblablement Bishop Fox ou Trail of Bits — et partagera les résultats publiquement. Cela crée un précédent pour les autres fabricants de tondeuses robotisées (Robomow, Worx, Husqvarna, Toro) ; car même si la recherche de Walters était spécifique à Yarbo, elle montre que le niveau de sécurité du secteur est désormais prêt à un examen plus rapproché.

Une remarque qui a retenu l'attention des chercheurs en sécurité : l'architecture des vulnérabilités de Yarbo correspond à des archétypes classiques de bugs IoT (Internet des objets). « L'utilisation d'identifiants d'authentification statiques — c'est-à-dire la vérification d'identité via des identifiants statiques tels que les adresses MAC — est une faille de conception identifiée dans les appareils IoT depuis le début des années 2010 », a déclaré le professeur Daniel Weitzner de l'Internet Policy Research Initiative du MIT. « Que Yarbo le fasse encore en 2026 montre que le secteur n'a pas encore intégré correctement les fondamentaux de la sécurité. »

Le cadre réglementaire américain pour les appareils IoT physiquement dangereux (tondeuses robotisées, aspirateurs robotisés, serrures connectées) est en développement. Le programme « US Cyber Trust Mark », piloté par le Consumer Technology Institute (CTIA), a été lancé fin 2025 ; c'est un dispositif d'étiquetage volontaire indiquant que les appareils respectent des standards de sécurité de base. Yarbo n'avait pas postulé au label. Après la recherche de Walters, Yarbo a annoncé qu'elle postulera au programme et visera à obtenir le label d'ici fin 2026.

L'impact financier sur Yarbo n'est pas encore clair. La société n'est pas cotée et exporte vers le marché américain depuis son siège chinois. Environ 12 000 appareils ont été vendus aux États-Unis ; ces unités reçoivent actuellement la mise à jour micrologicielle obligatoire. D'après le reporter du Verge, les volumes de commandes du distributeur américain de Yarbo ont chuté de 35 % ces dernières semaines. L'entreprise a conclu son communiqué : « Nous ferons tout pour regagner la confiance de nos clients. Les failles sont une erreur instructive pour nous et un avertissement pour le reste du secteur. »

Cet article est un résumé éditorial assisté par IA basé sur The Verge. L'image est une photo d'archive de Magic K sur Pexels.