Votre tondeuse robot sillonne la pelouse chaque nuit, autonome et silencieuse. Ce que peu de propriétaires réalisent : à chaque session de tonte, l’appareil collecte, traite et expédie vers les serveurs du fabricant un volume de données qui dépasse largement les données de tonte. Position GPS en temps réel, cartographie précise de votre jardin, données de connexion Wi-Fi, horaires de présence implicites… L’herbe coupée, c’est le prétexte. Les données, c’est le vrai produit.
À retenir
- Votre tondeuse collecte bien plus que des données de tonte : GPS temps réel, cartographie 3D, données Wi-Fi
- Des failles critiques permettent aux pirates d’accéder à vos coordonnées, vos mots de passe et vos flux caméra
- Des mesures simples existent pour réduire drastiquement votre exposition aux risques
Ce que votre tondeuse “voit” et transmet réellement
Les robots tondeuses connectés modernes sont de véritables capteurs ambulants. Les fonctions de cartographie intelligente et de localisation en temps réel ne fonctionnent qu’à condition que la tondeuse envoie continuellement ses coordonnées géographiques au fabricant. Chez Husqvarna, dont les Automower équipent plusieurs millions de jardins dans le monde, la politique de confidentialité est explicite : ces données sont stockées dans le profil utilisateur, utilisées pour fournir les services, résoudre les problèmes et, après anonymisation, alimenter le développement des futures technologies. votre jardin sert aussi de terrain d’entraînement pour les algorithmes du fabricant.
Quand on utilise une tondeuse robotisée, l’appareil collecte des données personnelles, dont des données de localisation. Ce n’est pas un secret : c’est écrit dans les CGU, ces longues pages que personne ne lit avant d’activer l’application. Ajoutez à cela les données d’utilisation de l’application mobile, les intégrations avec des plateformes tierces comme Google Home ou Amazon Alexa, et vous obtenez un écosystème où la tondeuse se connecte également aux grandes plateformes maison connectée des géants du numérique. Chaque flux de données supplémentaire élargit la surface d’exposition.
Les nouveaux modèles embarquent des caméras, des capteurs LiDAR, parfois même des connexions 4G indépendantes de votre box Internet. Certaines gammes haut de gamme combinent une vision binoculaire IA à 360° et un LiDAR 3D capable de capter des données jusqu’à 70 mètres, assurant une cartographie en temps réel. C’est bluffant techniquement. Mais une carte détaillée de votre propriété, mise à jour en permanence et stockée sur un serveur distant, représente un profil d’habitat que peu d’objets connectés parviennent à constituer avec autant de précision.
L’affaire Yarbo : quand la faille dépasse le simple bug
Le cas le plus frappant de ces derniers jours illustre jusqu’où peut aller la négligence dans ce secteur. Un chercheur en sécurité, Andreas Makris, a démontré que des failles critiques dans les robots tondeuses de la marque Yarbo permettaient à un attaquant distant de prendre le contrôle des machines, d’accéder aux données sensibles des utilisateurs et de compromettre leur réseau domestique. La démonstration, documentée par The Verge, a impliqué un robot de 90 kg piloté à près de 10 000 km de distance.
La réalité technique est stupéfiante. Chaque robot Yarbo partageait le même mot de passe root : une fois le premier appareil compromis, l’accès à l’ensemble de la flotte mondiale était acquis, avec possibilité d’accéder aux données vidéo de toutes les tondeuses actives. Selon les conclusions de Makris, plus de 11 000 robots Yarbo étaient potentiellement affectés dans le monde. Il a pu cartographier la localisation de milliers d’appareils, accéder aux flux caméra, contrôler les déplacements et récupérer les informations des propriétaires : adresses e-mail, coordonnées GPS et mots de passe Wi-Fi.
La cerise sur le gâteau ? Même si un utilisateur changeait son mot de passe ou supprimait la backdoor, une mise à jour ultérieure du firmware restaurait automatiquement les identifiants par défaut et tous les fichiers manquants. Makris a identifié trois appareils Yarbo à proximité d’une centrale énergétique sensible, dont l’un semblait appartenir à un analyste spécialisé dans la sécurité nucléaire. Ces tondeuses, connectées au réseau domestique de leurs propriétaires, constituaient autant de points d’entrée potentiels vers des systèmes bien plus critiques. Une tondeuse à gazon comme vecteur d’espionnage industriel. Difficile de rendre ça plus concret.
Le 8 mai 2026, Yarbo a publié une déclaration publique confirmant les découvertes de Makris. Après ce rapport, la société s’est excusée et a détaillé son plan de correction, tout en annonçant qu’elle maintiendrait un accès à distance limité, sous des contrôles plus stricts. Ce dernier point inquiète encore les experts : un backdoor “encadré” reste un backdoor.
Les fabricants vertueux : rassurer sans totalement convaincre
Toutes les marques ne jouent pas dans la même cour. Husqvarna affirme que les images captées par la caméra frontale sont traitées directement dans la tondeuse et ne sont jamais stockées ni partagées, et que les données quittant l’appareil sont hébergées en Europe conformément aux réglementations en vigueur. C’est mieux. Mais “mieux” n’est pas “parfait” : les coordonnées GPS, elles, partent bien vers les serveurs du fabricant.
Dans certaines situations, les fabricants collectent des informations telles que les rapports d’erreur, la fréquence d’utilisation, les préférences de nettoyage et les données cartographiques pour affiner leurs services. Ces métadonnées sont susceptibles d’être exploitées par des cybercriminels pour recueillir des renseignements et orchestrer des attaques ciblées. La frontière entre “amélioration du produit” et “profilage de l’utilisateur” reste floue dans la plupart des politiques de confidentialité.
Le risque ne vient pas uniquement des fabricants eux-mêmes. Des chercheurs de l’université de Maryland ont montré qu’il était possible de reconstruire un plan détaillé d’un logement à partir des seules données LiDAR d’un aspirateur robot, même sans accès aux images caméra, une information potentiellement exploitable pour des cambriolages ciblés. Appliquez le même raisonnement à une tondeuse qui cartographie votre extérieur : la disposition du jardin, les accès, les angles morts. Un plan de maison en creux.
Ce que vous pouvez (vraiment) faire
Les objets connectés entrent de plus en plus dans les foyers avec des caméras, des microphones, des capteurs, des moteurs et des accès cloud, mais beaucoup sont conçus avec des pratiques de sécurité qui peinent à suivre leurs capacités physiques. Face à ça, quelques réflexes concrets changent réellement le niveau d’exposition.
Isoler la tondeuse sur un réseau Wi-Fi invité distinct de votre réseau principal est la mesure la plus efficace : si l’appareil est compromis, votre ordinateur, votre NAS ou vos caméras domestiques restent hors d’atteinte. Mettre à jour le firmware régulièrement comble les failles connues. Réduire les permissions accordées à l’application mobile au strict minimum (pas d’accès aux contacts, pas de localisation permanente du smartphone) limite la surface de collecte. Et lire, enfin, la politique de confidentialité avant d’activer la synchronisation cloud.
Du côté réglementaire, le cadre européen se resserre. L’AI Act européen (Règlement EU 2024/1689), entré en application progressive depuis 2025, classe certains robots domestiques dans la catégorie des systèmes d’IA à risque limité, imposant des obligations de transparence sur le fonctionnement de l’IA et la collecte de données. L’application complète du texte est prévue pour le 2 août 2026. Ce calendrier pousse déjà les fabricants à documenter leurs pratiques de collecte, même si l’affaire Yarbo rappelle qu’une réglementation sans contrôle effectif reste un vœu pieux.
Ce que l’affaire Yarbo révèle au fond, c’est moins une défaillance isolée qu’un symptôme de l’ensemble du marché IoT grand public : chaque appareil connecté à votre réseau est un vecteur de menace potentiel, et toutes les entreprises qui les fabriquent ne peuvent pas nécessairement être considérées comme ayant votre sécurité à cœur. Une tondeuse à 5 000 euros qui expose votre mot de passe Wi-Fi en clair dans ses logs système, c’est le symptôme d’un secteur qui a fait du “tout connecté” un argument marketing avant d’en faire une responsabilité.
Sources : charlestech.fr | mowerbot.fr