Le fabricant du robot tondeuse Yarbo annonce vouloir supprimer une “porte dérobée” d’accès à distance, initialement conçue pour permettre un dépannage. L’entreprise affirme désormais que cette capacité ne restera plus active par défaut et qu’elle passera en mode opt-in, ce qui doit permettre aux propriétaires de choisir d’activer ou non un accès distant persistant.
Une faille jugée sensible, à l’origine d’une controverse
Des chercheurs en sécurité avaient pointé la présence d’un accès à distance pouvant, en théorie, faciliter la reprogrammation de la tondeuse par des tiers malveillants. Yarbo avait déjà reconnu plusieurs problèmes et indiqué vouloir renforcer la sécurité logicielle de ses robots.
Dans un premier temps, l’entreprise avait toutefois maintenu l’idée d’un accès distant, justifié comme un moyen de diagnostiquer des problèmes sans que l’utilisateur doive intervenir physiquement sur l’appareil, notamment en cas de difficultés de connexion ou de service.
Le changement : un accès distant activable seulement si l’utilisateur le souhaite
Selon l’entreprise, le point le plus préoccupant est désormais traité plus radicalement. Yarbo indique que l’accès distant persistant ne sera plus installé par défaut : il deviendra une fonctionnalité optionnelle, installée uniquement si l’utilisateur en fait le choix.
Le dirigeant de Yarbo explique que la suppression du “tunnel” d’accès ne devrait pas être instantanée pour tous les appareils, tout en précisant que la mise à jour viserait à limiter le risque. L’entreprise évoque un script de configuration, qui ne resterait inactif qu’avant toute activation par l’utilisateur.
Une mise en œuvre progressive et des contrôles supplémentaires
Yarbo affirme par ailleurs renforcer d’autres protections. Des mises à jour de micrologiciel ont déjà commencé à être déployées sur un premier groupe de machines, avec une extension prévue à d’autres lots. L’objectif, d’après l’entreprise, est notamment d’introduire des identifiants uniques pour chaque appareil, sans que le fabricant fournisse ces éléments aux utilisateurs finaux.
L’entreprise indique aussi être en discussion avec le chercheur ayant soulevé le problème, afin de permettre une validation indépendante des changements.
Ce que les propriétaires pourront faire concrètement
Yarbo recommande, en cas de difficulté, de commencer par transmettre les informations de diagnostic à son support technique. Ce n’est qu’en l’absence de solution via les canaux classiques que l’utilisateur pourrait envisager d’activer la fonctionnalité d’accès distant optionnelle.
-
D’abord, fournir des journaux et éléments de diagnostic au support.
-
Activer ensuite, si nécessaire, l’accès distant optionnel.
Des outils de sécurité pour mieux protéger un robot connecté
En attendant d’évaluer les effets concrets des mises à jour, certains propriétaires peuvent renforcer la sécurité de leur réseau domestique. Pour limiter l’exposition des appareils connectés, un routeur qui gère des fonctions de sécurité avancées et un contrôle plus fin du trafic peut constituer un complément utile, comme par exemple le routeur Wi-Fi orienté sécurité et contrôle du réseau.
Par ailleurs, un dispositif de coupure ou de surveillance d’alimentation pour appareils intelligents peut aider à isoler un équipement du réseau en cas de besoin, par exemple pour réduire l’impact d’un dysfonctionnement.
En résumé, Yarbo tente de répondre à une critique majeure : remplacer un accès distant persistant par une fonctionnalité réellement contrôlée par l’utilisateur. Reste à voir, à mesure que les mises à jour se généralisent, si les mécanismes annoncés permettent une suppression effective “par défaut” et une vérification conforme aux attentes des spécialistes.