Le 7 mai 2026, le chercheur en sécurité allemand Andreas Makris publie un rapport qui fait l’effet d’une bombe dans la communauté de la robotique grand public. Tous les robots-tondeuses Yarbo en circulation, environ 11 000 unités vendues à travers le monde dont une partie en France, peuvent être pilotés à distance par n’importe qui sachant lire un numéro de série. Démonstration spectaculaire à l’appui : un journaliste américain s’est volontairement allongé devant l’un d’eux.
Une démonstration qui « coupe » le souffle
C’est l’une des mises en scène journalistiques les plus radicales de l’année. Sean Hollister, reporter au Verge, s’allonge dans la terre devant son robot-tondeuse Yarbo de plus de 90 kg. À près de 10 000 kilomètres de là, depuis l’Allemagne, le chercheur Andreas Makris prend le contrôle de la machine sur Internet et la fait avancer vers le journaliste. Précaution de tournage : les lames sont désactivées et le robot recule sur sa cible. Ce sont donc les chenilles arrière qui montent sur la poitrine du journaliste, pas le plateau de coupe.
Le test ne visait pas à mesurer le tranchant des lames, mais à vérifier si la machine disposait d’un système d’évitement d’obstacles capable de détecter un humain au sol. La réponse est non. Le bouton d’arrêt d’urgence physique, ce gros bouton rouge censé tout couper, ne sert à rien non plus : un attaquant peut le réactiver à distance d’un simple message.
« Je peux faire tout ce que je veux avec tous les bots. C’est totalement non sécurisé », résume Makris au Verge.
Une porte dérobée volontaire, et un seul mot de passe pour 11 000 robots
L’analyse technique de Makris, publiée en open source sur GitHub, dévoile un dispositif particulièrement préoccupant. Tous les robots Yarbo embarquent un mot de passe administrateur identique, codé en dur dans le firmware, qui est systématiquement réinitialisé à chaque mise à jour logicielle, même si le propriétaire l’a changé manuellement. Un tunnel SSH permanent, ouvert automatiquement vers un serveur AWS contrôlé par Yarbo, expose chaque robot à toute personne disposant de son numéro de série. Aucune authentification supplémentaire n’est demandée côté serveur.
Plus troublant encore, le rapport montre que cette porte dérobée n’est pas un oubli de développement, mais bien une architecture délibérée. La télémétrie remonte directement vers les serveurs Feishu de ByteDance, le propriétaire chinois de TikTok.
Le risque dépasse largement le cas du journaliste consentant. Une fois connecté en root, un hacker accède aux quatre flux caméra du robot, récupère le mot de passe Wi-Fi du foyer, lit les coordonnées GPS du domicile, et peut utiliser la machine comme passerelle vers les autres appareils du réseau domestique. Hollister a remonté la piste jusqu’à un propriétaire californien, Wayne Yu, à partir des seules données extraites par Makris. Plus inquiétant : sur les 11 000 robots géolocalisés, douze se trouvent dans un rayon de trois kilomètres autour d’une centrale nucléaire américaine, dont l’un appartient à un analyste en sécurité nucléaire.
Yarbo admet, promet, et nous rappelle une vieille leçon
Après la publication du rapport et l’enquête du Verge, le cofondateur Kenneth Kohlmann a publié le 8 mai 2026 une lettre ouverte reconnaissant que « les findings techniques sont exacts ». La marque annonce la création d’une adresse de signalement, un Yarbo Security Center, l’étude d’un programme de bug bounty, et un correctif firmware OTA prévu sous une semaine. Geste rare, Kohlmann a personnellement remercié Makris pour sa persévérance, alors que les premières réponses du service client minimisaient la faille en la qualifiant de « capacité de diagnostic strictement contrôlée ». Détail révélateur : Yarbo a aussi tenté à plusieurs reprises de faire signer au Verge un « accord de coopération » incluant une clause de non-dénigrement… demandes refusées par la rédaction.
Le cas Yarbo s’inscrit dans une lignée que nous documentons régulièrement sur Meilleure-Innovation. En novembre 2025, l’aspirateur iLife A11 d’un ingénieur indien était tombé « volontairement » en panne lorsque ce dernier avait coupé sa télémétrie au routeur. En septembre 2025, les autorités coréennes ont épinglé le Narwal Freo Z Ultra, l’Ecovacs X8 Pro Omni et le Dreame X50 Ultra pour authentification insuffisante. Des photos d’intérieur captées par des Roomba avaient déjà fuité après avoir servi à entraîner des modèles d’IA.
« C’est beaucoup plus comme une tronçonneuse sans protège-main, sans frein, avec une chaîne détendue prête à vous arracher la jambe à tout moment. » résume Matt Petach, ancien architecte réseau de Yahoo et Microsoft, également propriétaire d’un robot-tondeuse Yarbo tracé par Makris et Hollister.
Que faire si vous avez un Yarbo en France ?
Yarbo est commercialisé en Europe depuis le second semestre 2024, après une annonce officielle au salon Spoga+Gafa de Cologne. Sur les 11 000 robots géolocalisés par Makris, environ 5 400 se trouvent aux États-Unis et en Europe. Le robot est aujourd’hui distribué en France via le site officiel et plusieurs revendeurs spécialisés (Greendis, Robot de Jardin, Foliatura, ABcommerces). Si vous possédez un modèle, plusieurs gestes simples limitent l’exposition :
Cela neutralisera certes les fonctions connectées, mais c’est aujourd’hui la seule garantie absolue.
À mesure que les robots domestiques deviennent plus autonomes et plus connectés, la cybersécurité s’impose comme un critère d’achat aussi décisif que la qualité de coupe ou l’autonomie de batterie. Le cas Yarbo est sans doute le plus spectaculaire de l’année 2026. Il pourrait bien ne pas être le dernier. Et vous ? Ce genre de situations pourraient-elles vous dissuader de vous équiper en domotique ? Dites-nous tout en commentaires !
Certains liens de cet article peuvent être affiliés.
