Un certificat AWS mal configure transforme les aspirateurs robots Shark en cameras de surveillance ouvertes a tous. Le chercheur tokay0 a prouve qu’un simple tournevis cruciforme suffit pour controler 673 000 appareils, visionner leur flux camera en direct et recuperer le mot de passe Wi-Fi de leurs proprietaires. SharkNinja, informe en mars, n’a toujours pas corrige la faille.
Un passe-partout pour 673 000 aspirateurs
Imaginez que la cle de votre boite aux lettres ouvre aussi celle de tous vos voisins dans la region. C’est exactement le probleme que le chercheur en cybersecurite tokay0 a decouvert sur les aspirateurs robots de la marque Shark en decembre de son RV2320EDUS. Il a trouve un certificat d’authentification AWS dont les droits d’acces n’etaient pas limites a un seul appareil. Presente au serveur cloud de SharkNinja, ce certificat agit comme un passe-partout regional : il permet de s’abonner aux flux de n’importe quel autre aspirateur de la meme zone AWS et de modifier son etat a distance. En 24 heures, plus de 673 000 appareils ont repondu positivement a ses requetes de test, selon Les Numeriques.
La vulnerabilite ne repose sur aucune corruption memoire, aucun contournement de mot de passe, aucune escalade de privileges. Comme le detaille The Hacker News, la commande qui s’execute est un champ ordinaire dans le «device shadow», le document d’etat qu’AWS conserve dans le cloud pour chaque appareil. Envoyer une mise a jour de ce shadow vers le topic d’un appareil suffit pour declencher l’execution de commandes root si l’appareil implemente le gestionnaire correspondant. Amazon dispose d’un outil d’audit, AWS IoT Device Defender, qui identifie ce type exact de configuration trop permissive. Les certificats de l’ancienne flotte n’ont jamais ete reemission, ce qui suggere que SharkNinja n’a pas applique les recommandations de securite de base d’AWS.
Tournevis, UART et shell root
L’extraction du certificat n’a rien d’une operation reservee a des experts en cybersecurite. tokay0 a ouvert son aspirateur avec un simple tournevis cruciforme, expose les broches UART de la carte mere, et constate que la console U-Boot ne demande aucun mot de passe. En passant init=/bin/sh dans les arguments de demarrage, il obtient un shell root. Le certificat et la cle de l’appareil se trouvent dans /mnt/res/vapp/certs/ sous forme de fichiers ordinaires. Pas de reverse engineering avance, pas d’exploit zero-day : une faille de conception cloud pure et simple.
Ce certificat en main, il a prouve le passage entre modeles : il a lance un shell inverse sur un AV1102ARUS achete comme cible, puis utilise ce shell pour diffuser en direct le flux video de la camera embarque du robot pendant qu’il se deplacait dans son logement. La cartographie du logement et le mot de passe Wi-Fi en clair sont egalement accessibles via le meme canal. La seule limitation geographique est que le certificat est epingle a une region AWS : une cle extraite dans une region ne touche que les appareils de cette zone. Pour les autres regions, il faudrait un autre certificat portant la meme politique defectueuse.
Pas de CVE, pas de patch, pas de reponse
tokay0 a signale la faille a SharkNinja en mars 2026. Quatre mois plus tard, aucune mise a jour du firmware n’a ete publiee, aucun correctif n’est disponible pour les utilisateurs. Aucun code CVE n’a ete attribue, ni par le fabricant ni par le CNA de dernier recours de la MITRE, que le chercheur a contacte le 11 juin sans reponse. Sans cet identifiant, les outils de gestion de vulnerabilite deployes dans les entreprises ne peuvent tout simplement pas referencer le probleme. Les RSSI et les DSI qui ont autorise ces appareils sur leur reseau sont dans une impasse : impossible de bloquer un CVE qui n’existe pas.
SharkNinja a minimise la gravite de la faille, selon les informations de tokay0 rapportees par The Hacker News et 01net. Le fabricant aurait mis en doute la pertinence d’une assignation CVE. Il n’a publie aucun communique officiel sur le sujet au 18 juillet 2026. Le chercheur retient ses scripts d’exploitation tant que la faille reste ouverte, et soupconne que d’autres produits connectes de la marque, comme les grils intelligents et les sondes a viande sans fil, partagent la meme infrastructure AWS defectueuse. Cette affaire rappelle les precedents incidents de securite sur les aspirateurs robots chez Ecovacs et DJI, ou des failles similaires avaient expose les cameras et la cartographie des logements.
La seule protection pour les proprietaires d’aspirateurs Shark connectes est de debrancher l’appareil du Wi-Fi. Cette solution coupe l’acces aux fonctionnalites connectees (controle via l’application, programmation a distance, cartographie et historique) mais reste la seule barriere efficace en attendant un vrai correctif. Sur le plan technique, une simple reemission des certificats avec des politiques AWS correctement restreintes resoudrait le probleme a la racine. Encore faut-il que SharkNinja veuille bien admettre qu’il existe.
