Depuis plusieurs mois, les robots chiens et humanoïdes Unitree, très visibles sur les réseaux sociaux, suscitent l’intérêt autant qu’une certaine fascination pour leur avancée technologique. Cependant, une récente découverte de chercheurs en sécurité vient jeter une lumière bien plus inquiétante sur leur vulnérabilité. Lors de la conférence GEEKCon à Shanghai, l’équipe DARKNAVY a démontré qu’il était possible de pirater ces robots en moins d’une minute, et ce, sans même nécessiter un accès Internet.
Ce piratage a été réalisé en utilisant uniquement des commandes vocales et une connexion Bluetooth, exposant une faille de sécurité majeure. Ku Shipei, un expert de l’équipe, a pris le contrôle d’un robot humanoïde Unitree G1, coûtant environ 14 000 euros, en manipulant ses paramètres Bluetooth Low Energy (BLE). En quelques manipulations simples, il a changé la couleur de l’indicateur lumineux du robot, puis l’a dirigé à distance vers un journaliste en lui lançant un coup de poing — une démonstration qui laisse pantois et qui soulève des questions sérieuses sur la sécurité de ces machines.
Ces robots, équipés de caméras, microphones et autres capteurs, pourraient devenir des vecteurs d’espionnage ou d’attaques de grande ampleur si leurs vulnérabilités sont exploitées à des fins malveillantes.
Le problème principal réside dans la gestion du réseau Wi-Fi via BLE. Lors de la configuration, le nom du réseau et le mot de passe sont transférés sans filtrage adéquat, permettant une injection de commandes malveillantes dans les champs SSID ou mot de passe. La faiblesse est accentuée par le fait que tous les robots Unitree partagent une clé AES codée en dur pour chiffrer leurs communications Bluetooth, ce qui signifie que cracker un seul modèle suffit à compromettre l’ensemble de la gamme mondiale des robots Unitree, qu’il s’agisse du G1, H1, Go2 ou B2.
Ce qui rend la situation encore plus inquiétante, c’est la sécurité du handshake, qui ne vérifie qu’une simple chaîne de caractères contenant « unitree ». Une telle faiblesse rend la vulnérabilité wormable : un robot infecté peut scanner les autres appareils à proximité et propager l’attaque, créant un véritable botnet de robots contrôlés à distance. Imaginez la pagaille dans un entrepôt ou une usine où plusieurs dizaines de ces machines autonomes seraient reprises dans un même réseau compromis. La menace d’un scénario où des robots deviennent des armes ou des outils d’espionnage n’est pas à prendre à la légère.
Au-delà de la prise de contrôle, une préoccupation majeure concerne l’architecture du robot G1, équipé de caméras Intel RealSense D435i, de microphones et de systèmes de positionnement. Ces dispositifs peuvent capturer des réunions confidentielles, photographier des documents sensibles ou cartographier en permanence des locaux sécurisés, et tout cela peut être transmis en continu vers des serveurs externes, notamment situés en Chine. La possibilité d’exfiltration de données s’ajoute à la liste des risques, exacerbant la nécessité de renforcer la sécurité de ces systèmes avant qu’un incident ne survienne.
Les précédentes vulnérabilités documentées, comme celle découverte en avril 2025 dans le robot chien Go1 permettant un contrôle à distance via un tunnel réseau, montrent que ces modèles sont sujets à des failles récurrentes. Pour les amateurs et développeurs utilisant des plateformes comme Raspberry Pi ou Arduino, il est recommandé d’adopter des mesures de sécurisation strictes : ne pas transmettre de mots de passe en clair, utiliser des protocoles de dérivation de clés comme ECDH, changer les clés par défaut, isoler les robots sur des réseaux dédiés et désactiver le Bluetooth quand il n’est pas utilisé. Ces actions simples peuvent éviter que votre robot devienne un cheval de Troie ambulant, prêt à se retourner contre vous ou contre votre environnement.
En conclusion, ces révélations rappellent que même les robots équipés de capteurs avancés sont vulnérables face à des attaques bien ciblées. La sécurisation des communications sans fil, l’élaboration de protocoles robustes et l’éveil à la gestion des clés sont indispensables pour toute installation robotique. Si vous souhaitez suivre l’actualité de la robotique ou ne pas rater les dernières nouveautés et conseils en sécurité, n’hésitez pas à bookmarkez ce lien dédié aux meilleures news robotiques. Et en cette période de fin d’année, je vous souhaite un excellent Noël, en espérant que la technologie n’oublie pas l’essentiel : la sécurité et la prévention contre les dérives malveillantes.
