Le robot tond la pelouse la nuit. Tranquillement. Efficacement. Et pendant ce temps, il parle. L’affaire Yarbo, révélée début mai 2026 par le chercheur en cybersécurité allemand Andreas Makris, a brusquement replacé les robots tondeuses connectés là où ils auraient toujours dû être scrutés : sous le regard d’un analyste réseau, pas seulement sous celui d’un propriétaire satisfait de sa pelouse bien taillée.
Ce qui se passe la nuit sur votre Wi-Fi, quand votre robot tond en mode programmé, dépasse largement les simples échanges de statut avec une application mobile. Et le pire n’est pas forcément ce que vous pensez.
À retenir
- Votre tondeuse a une porte dérobée programmée depuis l’usine, et le fabricant possède la clé
- Les données collectées dépassent largement le nécessaire : GPS, mots de passe Wi-Fi, et bien pire
- En France, une tondeuse a paralysé les réseaux IoT du pays entier pendant plus d’un an
Un tunnel SSH ouvert sur l’internet mondial
Les robots tondeuses Yarbo, vendus autour de 5 000 dollars pièce, présentaient une faille de sécurité grave : tous les appareils de la marque partageaient le même mot de passe administrateur, accessible à distance via internet. C’est Andreas Makris, chercheur allemand en cybersécurité, qui a mis au jour ce problème. La démonstration, publiée le 7 mai 2026, a fait l’effet d’une bombe dans la communauté de la robotique grand public.
Chaque robot Yarbo livré au client embarquait un tunnel SSH persistant, un mot de passe root codé en dur, identique sur toute la flotte, et une télémétrie qui envoyait des données vers ByteDance. Rien de tout cela n’était divulgué au moment de l’achat. C’est comme si votre box internet avait, depuis le premier jour, une porte dérobée dont le fabricant possède la clé, et que cette même clé fonctionne chez tous vos voisins.
La mécanique de la faille est glaçante de simplicité. Chaque robot exécute un client FRP (Fast Reverse Proxy) qui ouvre un tunnel sortant permanent vers un serveur contrôlé par Yarbo. SSH est exposé via ce tunnel avec l’option PermitRootLogin activée. N’importe qui connaissant le numéro de série du robot peut se connecter, sans autre identifiant requis côté proxy. Et ce numéro de série ? Pas vraiment difficile à trouver.
Même la modification du mot de passe administrateur ne garantissait pas une protection totale, car chaque mise à jour du firmware d’un robot Yarbo réinitialisait le mot de passe à sa valeur par défaut. Et il semblerait que cette faille d’accès à distance ait été intentionnellement créée par Yarbo. Sean Hollister, reporter au Verge, s’est allongé dans la terre devant son robot Yarbo de plus de 90 kg. À près de 10 000 kilomètres de là, depuis l’Allemagne, Makris a pris le contrôle de la machine sur internet et l’a fait avancer vers le journaliste. La tondeuse s’est arrêtée à quelques centimètres.
Ce que votre tondeuse envoyait vraiment la nuit
Les données de télémétrie collectées dépassent largement les informations nécessaires au fonctionnement. Un attaquant pouvait récupérer les coordonnées GPS, les adresses e-mail, les mots de passe Wi-Fi, transformer les caméras en outils d’espionnage à distance, et même réarmer la tondeuse après que quelqu’un ait actionné l’arrêt d’urgence.
Le volet le plus troublant concerne la destination des données. Le rapport pointe des connexions impliquant Hanyang Tech, la société mère de Yarbo basée à Shenzhen, ainsi que ByteDance Feishu, Tencent TDMQ et des résolveurs DNS chinois. Makris indique qu’une partie de la télémétrie des robots pouvait être envoyée vers la plateforme Feishu de ByteDance, inscrite directement dans le firmware. ByteDance, c’est la maison mère de TikTok. The Verge a établi que, malgré une domiciliation officielle à New York, Yarbo semble en réalité opérer depuis Shenzhen, en Chine.
Plus concrètement : tous les robots envoyaient également de la télémétrie matérielle directement vers la plateforme Feishu de ByteDance, incluant le numéro de série, l’utilisation du CPU, de la mémoire et du disque. Ces données, prises isolément, semblent anodines. Croisées avec les coordonnées GPS et l’adresse e-mail du propriétaire, elles permettent de reconstituer un profil précis de chaque foyer concerné. Makris a même repéré trois appareils Yarbo à proximité d’une centrale énergétique sensible. L’un d’eux semblait appartenir à un analyste spécialisé dans la sécurité nucléaire. Ces tondeuses, connectées au réseau domestique de leurs propriétaires, constituaient autant de points d’entrée potentiels vers des systèmes bien plus critiques.
La France n’est pas épargnée : quand la tondeuse brouille tout le pays
L’affaire Yarbo concentre les regards, mais la France a vécu, quelques mois plus tôt, son propre épisode de robot tondeuse devenu problème national, pour une raison totalement différente. Un robot tondeuse Mammotion LUBA 2 a semé la pagaille dans les réseaux IoT LoRa français pendant plus d’un an. L’ANFR a mené l’enquête : le coupable tondait tranquillement sa pelouse à 17 kilomètres de l’antenne brouillée.
En France, une large partie des échanges IoT transitent par le réseau LoRa, et pendant plus d’un an, un équipement domestique l’a parasité à grande échelle. Le coupable était le module de guidage RTK de la tondeuse Mammotion, qui monopolisait une fréquence partagée bien au-delà de ce que la loi autorise. Compteurs d’eau communicants, capteurs industriels, équipements domotiques : tous perturbés par un jardin en Isère. Au total, plus de 120 plaintes liées au brouillage du réseau LoRa ont été traitées entre 2024 et 2025.
Sous la pression de l’ANFR, le fabricant Shenzhen Mammotion Innovation a finalement publié le firmware V1.14.1.2, une mise à jour profonde qui corrige les émissions radio et se déploie automatiquement dès que la tondeuse est connectée à internet. L’Agence appelle tous les propriétaires d’un LUBA 2 à vérifier que la mise à jour est bien installée. Sans ce correctif, l’appareil continue d’émettre illégalement, et son propriétaire encourt jusqu’à 30 000 euros d’amende et six mois de prison. Le propriétaire, pas le fabricant. Nuance cruelle.
Ce que ça change concrètement pour vous
Face à ces deux affaires, la réponse de Yarbo mérite d’être soulignée, même si elle arrive tardivement. La réponse publique de Yarbo est inhabituellement détaillée pour un fabricant IoT grand public, et franchement directe dans sa reconnaissance que les conclusions du chercheur étaient exactes. La société a temporairement désactivé les tunnels de diagnostic à distance, réinitialisé les mots de passe root et verrouillé les points d’entrée non authentifiés. Après la publication du rapport, le cofondateur Kenneth Kohlmann a publié une lettre ouverte reconnaissant que “les findings techniques sont exacts”. La marque annonce la création d’un Yarbo Security Center, l’étude d’un programme de bug bounty, et un correctif firmware OTA.
Reste un problème de fond : Yarbo a explicitement choisi de conserver un tunnel d’accès à distance, bien qu’entouré de meilleurs contrôles et journaux, plutôt que d’offrir aux utilisateurs la possibilité de le supprimer ou d’en refuser totalement l’accès. la porte de derrière reste ouverte. Elle est simplement mieux gardée qu’avant.
Les mesures pratiques à appliquer immédiatement sont au nombre de trois : isoler le robot sur un réseau Wi-Fi invité distinct de votre réseau principal (téléphones, ordinateurs, caméras de sécurité), appliquer toutes les mises à jour firmware sans délai, et vérifier dans les paramètres de votre routeur quels appareils sont connectés et quels flux sortants ils génèrent. Avant d’intégrer un appareil autonome dans un environnement domestique, il est utile de vérifier si le fabricant publie des bulletins de sécurité, propose des mises à jour régulières et dispose d’un processus de signalement des vulnérabilités. Ces critères, souvent absents des fiches produit, conditionnent pourtant la sécurité réelle de l’appareil sur la durée.
Le secteur, lui, n’a pas fini de composer avec ce type de révélations. En 2024, le marché mondial des robots tondeuses était valorisé à environ 9,21 milliards de dollars, avec une projection à 20,21 milliards en 2033. Des dizaines de millions d’appareils connectés qui cartographient vos jardins, accèdent à votre réseau domestique, embarquent des caméras HD et tournent la nuit sans surveillance humaine. En septembre 2025, les autorités coréennes ont déjà épinglé plusieurs modèles de robots aspirateurs pour authentification insuffisante. La régulation européenne existe : la norme IEC 60335-2-107 et le Règlement UE 2023/1230 imposent des contrôles d’arrêt des lames, des protections batterie et des mesures de cybersécurité pour les robots extérieurs connectés. Mais entre l’obligation réglementaire et sa mise en œuvre effective dans le firmware d’une usine de Shenzhen, il y a un fossé que les affaires Yarbo et Mammotion ont mis en pleine lumière.
Sources : charlestech.fr | lelectronique.com