En ouvrant l’application de son robot tondeuse Yarbo pour vérifier la progression de la tonte, un propriétaire ordinaire n’imaginait pas avoir entre les mains l’une des interfaces de surveillance les plus précises qui soit : carte détaillée de son terrain, coordonnées GPS au centimètre près, historique de chaque passage, flux caméra en direct. Une mine d’or pour le fabricant. Et, comme on vient de le découvrir, pour n’importe qui d’autre.
À retenir
- Les robots tondeuses modernes cartographient votre jardin avec une précision de 1 à 3 centimètres et transmettent ces données à des serveurs externes
- Un chercheur a découvert que n’importe qui pouvait piloter à distance tous les robots Yarbo du monde en connaissant leur numéro de série
- Les données de Yarbo transitaient par les serveurs de ByteDance, la maison mère de TikTok, soulevant des questions sur la souveraineté des données
Ce que voit vraiment votre robot au fond du jardin
Les robots tondeuses modernes ne se contentent plus de couper de l’herbe. Leur navigation de haute précision repose sur la combinaison du GNSS (système mondial de navigation par satellite) et de la technologie RTK, qui capte des signaux de plusieurs systèmes satellitaires simultanément pour affiner sa position. Le résultat concret : les systèmes RTK-GPS atteignent une précision de 1 à 3 centimètres pour la cartographie exacte des limites et les trajectoires de coupe en lignes droites. C’est plus précis que la plupart des GPS militaires grand public.
Pour construire cette carte, la machine ne se contente pas de regarder le ciel. En guidant le robot autour des bords de la pelouse via l’application smartphone, il enregistre une série précise de coordonnées GPS, créant ainsi une carte numérique ou “clôture virtuelle”, et son système de navigation vérifie ensuite en permanence sa position par rapport à cette carte pour rester dans les limites définies. Cette cartographie, stockée dans l’application, remonte sur les serveurs du fabricant. Les modèles les plus récents ajoutent des caméras embarquées capables, selon les constructeurs, de reconnaître plus de 200 objets sur la pelouse. Votre jardin n’est plus un espace privé. C’est une base de données.
Les robots peuvent apprendre votre routine quotidienne en fonction du programme de tonte que vous avez défini, et les plans des propriétés sauvegardées révèlent la taille et la conception d’un terrain, ce qui peut suggérer des niveaux de revenus et d’autres informations sur les conditions de vie d’une personne. Traduit en clair : votre robot tondeuse sait quand vous êtes chez vous, à quelle heure vous partez travailler, et dans quelle maison vous vivez.
L’affaire Yarbo : quand la backdoor est une feature
Ce qui n’était jusqu’ici qu’une inquiétude théorique est devenu une démonstration physique le 7 mai 2026. Le chercheur en sécurité allemand Andreas Makris publie un rapport qui fait l’effet d’une bombe dans la communauté de la robotique grand public : tous les robots tondeuses Yarbo en circulation, environ 11 000 unités vendues à travers le monde dont une partie en France, peuvent être pilotés à distance par n’importe qui connaissant leur numéro de série.
La faille est architecturale, pas accidentelle. La cause profonde était un ensemble de choix de conception “hérités” : chaque robot partageait le même mot de passe root codé en dur, des tunnels d’accès distant étaient laissés ouverts, et la messagerie MQTT était si faiblement protégée qu’une fois en possession d’un appareil, on disposait de l’ensemble du parc mondial. Et pire : même la modification du mot de passe administrateur ne garantirait pas une protection totale, car chaque mise à jour du firmware d’un robot Yarbo réinitialise ce mot de passe à sa valeur par défaut. Et il semblerait que cette possibilité d’accès distant ait été intentionnellement créée par Yarbo.
La démonstration est restée dans les mémoires. Un chercheur a pris le contrôle à distance de robots Yarbo connectés au backend de l’entreprise et l’a démontré depuis l’Allemagne en manœuvrant l’un d’eux, une machine de 90 kilos équipée de lames, au-dessus du corps d’un journaliste allongé au sol. Sean Hollister, le reporter du Verge, a frôlé le pire. Yarbo, de son côté, assurait dans ses communiqués que “votre système Yarbo demeure parfaitement sécurisé et sous votre contrôle exclusif.” Rarement l’écart entre discours marketing et réalité technique n’aura été aussi béant.
Au-delà du risque physique, un attaquant pouvait récupérer des coordonnées GPS, des adresses e-mail et des mots de passe Wi-Fi, transformer les caméras en outils d’espionnage à distance, et même réarmer la tondeuse après que quelqu’un ait appuyé sur l’arrêt d’urgence. Tout cela était rendu possible par un tunnel de backdoor persistant que les utilisateurs ne pouvaient ni voir ni contrôler. Cerise sur le gâteau : Makris a constaté que la télémétrie des appareils était acheminée vers des serveurs liés à ByteDance, la société chinoise propriétaire de TikTok, et The Verge a établi que Yarbo, officiellement domiciliée à New York, semblait en réalité opérer depuis Shenzhen, en Chine.
Un secteur entier sous surveillance
L’affaire Yarbo n’est pas une anomalie isolée. En septembre 2025, les autorités coréennes avaient déjà épinglé plusieurs robots aspirateurs pour authentification insuffisante. Des photos d’intérieur captées par des Roomba avaient également fuité après avoir servi à entraîner des modèles d’IA. Le jardin succède au salon.
Le cas Yarbo est le dernier exemple en date des risques croissants liés aux objets connectés. Ces gadgets pénètrent de plus en plus dans les foyers avec des caméras, des microphones, des capteurs, des moteurs et un accès au cloud, mais beaucoup sont construits avec des pratiques de sécurité en retard sur leurs capacités physiques. En théorie, le RGPD est censé protéger les utilisateurs européens. Le fournisseur de dispositifs collectant des données personnelles doit mettre en place des mesures de sécurité adaptées au niveau de sensibilité des données et aux capacités de contrôle des appareils. En pratique, les utilisateurs doivent se montrer vigilants face au manque de transparence de certaines applications, car bon nombre d’entre eux n’ont pas conscience de la quantité de données personnelles collectées, lesquelles sont susceptibles d’être transmises à l’extérieur, sans qu’ils sachent à quelles fins.
Côté Yarbo, la réponse post-scandale a été plus sérieuse qu’à l’accoutumée dans ce secteur. La société a temporairement désactivé les tunnels de diagnostic distant, réinitialisé les mots de passe root, verrouillé les points d’accès non authentifiés, et annoncé des changements structurels : identifiants uniques par appareil, rotation des identifiants par OTA, diagnostics à distance basés sur une liste blanche auditée, et un contact sécurité dédié. Mais Yarbo a explicitement choisi de maintenir un tunnel d’accès distant, même enveloppé dans de meilleurs contrôles et journaux, plutôt que d’offrir aux utilisateurs la possibilité de le désactiver complètement. Ce détail dit tout sur la philosophie du secteur.
Ce que vous pouvez faire, maintenant
Reprendre le contrôle n’est pas une utopie, mais ça demande quelques minutes que personne ne prend jamais. La première chose à faire : garder à l’esprit que le stockage ou la visualisation d’informations cartographiques, de photos ou de vidéos via l’application peut signifier que ces données sont téléchargées sur un serveur externe. Avant d’activer la moindre fonction, vérifiez la politique de confidentialité du fabricant pour savoir quelles données sont collectées, comment elles sont stockées et qui peut y avoir accès.
Pour les robots déjà en service, quelques gestes simples changent la donne. Isolez si possible vos appareils IoT sur un réseau séparé. Utilisez un Wi-Fi invité ou un VLAN dédié. Désactivez ce dont vous n’avez pas besoin. Un réseau invité, c’est dix minutes de configuration sur votre box. C’est aussi la différence entre un robot tondeuse et un point d’entrée vers votre réseau domestique entier.
La vraie question, celle que peu de constructeurs posent honnêtement, est celle-ci : acquérir un appareil connecté coûteux ne garantit pas un niveau de sécurité proportionnel au prix. Dans le cas de Yarbo, un investissement de 5 000 dollars n’a pas empêché des failles permettant une prise de contrôle à distance complète. Le prochain standard européen sur la cybersécurité des objets connectés, le Cyber Resilience Act entré en vigueur en 2024, imposera progressivement aux fabricants des exigences minimales avant mise sur le marché. Pour les appareils déjà vendus, en revanche, la mise en conformité restera volontaire. Et on a vu ce que “volontaire” signifie chez Yarbo avant que The Verge ne s’allonge dans l’herbe.
Sources : securite.developpez.com | ecovacs.com