Yarbo répond à un rapport de sécurité ayant mis en lumière plusieurs failles supposées liées à son système de diagnostic à distance, à la gestion des identifiants et au traitement des données. Dans une déclaration publiée après l’intervention d’un chercheur, la société reconnaît que sa communication initiale n’a pas reflété la gravité des problèmes soulevés et annonce des corrections prioritaires, ainsi qu’un renforcement durable de son architecture de sécurité.
Un constat jugé sérieux, mais partiellement contextualisé
Selon Yarbo, les points abordés concernent principalement des choix techniques plus anciens, présents dans certaines fonctions de diagnostic à distance, de gestion d’accès et de circulation de données. La société indique aussi que certains éléments décrits dans le rapport ne correspondraient pas, selon elle, au comportement par défaut des robots actuellement commercialisés, ou ne constitueraient pas des vulnérabilités indépendantes.
Yarbo met en avant plusieurs axes : réduire les chemins d’accès historiques, resserrer les permissions, et évoluer vers des identifiants au niveau des appareils, mieux auditables. La société dit aussi vouloir améliorer la visibilité et le contrôle des utilisateurs sur les fonctions de diagnostic à distance.
Corrections déjà engagées et travaux en cours
La marque affirme travailler en parallèle avec ses équipes d’ingénierie, produit, juridique et support. Elle annonce que la mise en conformité se fait par étapes, notamment via l’abandon progressif des serveurs et canaux d’accès historiques.
Yarbo indique également accélérer des mises à jour de sécurité « over-the-air » et des protections côté serveur. La première vague d’updates devrait commencer sous une semaine, avec une mise à jour de firmware de sécurité déployée vers l’ensemble des robots concernés.
Sur le plan pratique, la société précise que l’installation nécessiterait une connexion à Internet du robot pendant un court moment. Une fois la mise à jour appliquée, l’utilisateur pourrait revenir à ses réglages réseau habituels.
Objectif : limiter les accès distants persistants
Le communiqué revient sur des mécanismes évoqués dans le rapport, notamment un redémarrage automatique du client « FRP » via des tâches planifiées ou des mécanismes de récupération de service. Yarbo reconnaît que cela peut compliquer la désactivation manuelle de certains canaux d’accès à distance, mais affirme que le cœur du sujet réside dans l’existence et la configuration de la « tunnel » distant.
Dans ce cadre, l’entreprise dit viser à désactiver ou restreindre les tunnels, introduire des règles d’autorisation (« allowlisting ») et améliorer l’auditabilité, tout en supprimant les voies d’accès à distance persistantes jugées inutiles.
Protections contre la suppression de fichiers : clarification et réexamen
Yarbo aborde aussi une fonction de surveillance de fichiers mentionnée dans le rapport, pouvant restaurer certains éléments supprimés. D’après elle, il s’agirait à l’origine d’un mécanisme de fiabilité, conçu pour empêcher la corruption accidentelle de fichiers critiques, sans vocation d’accès à distance.
La société souligne toutefois qu’un mécanisme rendant plus difficile la suppression de composants liés à l’accès distant peut susciter des inquiétudes de confiance. Elle annonce donc une revue de ce qui doit rester protégé, et de ce qui devrait être supprimé, simplifié ou placé sous contrôle utilisateur.
Rapport, configurations historiques et ambitions de sécurité
Yarbo insiste sur une distinction : certaines observations concerneraient des infrastructures anciennes, des services cloud historiques, des configurations spécifiques à des revendeurs ou encore des environnements internes de test. La marque dit vouloir clarifier ce qui s’applique réellement aux appareils de production actuels, et ce qui relève de configurations passées.
Au-delà des corrections ponctuelles, la société annonce une amélioration plus large de ses processus internes de revue, de remédiation et de gouvernance en sécurité. Elle indique aussi vouloir mieux structurer la réception des signalements, en lançant un canal dédié pour la divulgation responsable.
Pour les utilisateurs, cette séquence rappelle l’importance de la mise à jour logicielle et de la gestion du niveau de connectivité des équipements connectés. Certains propriétaires choisissent aussi de segmenter le réseau domestique afin de limiter l’exposition des appareils automatisés. À titre d’exemple, un routeur avec fonctions de contrôle du trafic et de segmentation (réseaux séparés) peut aider à cadrer la connectivité d’objets connectés, comme un routeur Wi‑Fi maillé doté d’un réseau invité.
Produits et maintenance : quoi surveiller en pratique
Au moment où des correctifs sont déployés, l’enjeu principal pour les propriétaires de tondeuses robots reste de vérifier que la mise à jour de sécurité a bien été appliquée et de conserver, si besoin, une connectivité limitée aux fenêtres nécessaires. Dans la même logique, certains utilisateurs privilégient des dispositifs de contrôle et de suivi de l’état réseau pour détecter rapidement toute anomalie de connectivité, par exemple avec un petit outil de monitoring réseau compatible avec leur configuration domestique.
Dans son message, Yarbo dit comprendre les inquiétudes des clients et présente des excuses, tout en annonçant des actions concrètes et une évolution plus systémique. Reste à voir, dans les prochaines mises à jour, la portée exacte des changements sur les modèles concernés et le niveau de transparence qui suivra l’effort de remédiation.