Une vulnérabilité critique du service de configuration Bluetooth Low Energy permet de prendre le contrôle des robots Unitree (Go2, B2, G1, H1). Baptisé « UniPwn », l’exploit combine des clés chiffrées codées en dur et une injection de commandes, offrant un accès root et une propagation autonome entre machines. Les chercheurs accusent Unitree d’avoir négligé les remontées et publient un proof‑of‑concept accessible sur GitHub.
La réalité des robots « hors de contrôle » ou agissant de manière inhabituelle cesse d’être un simple scénario de science‑fiction. UniPwn illustre les conséquences directes d’un design produit négligent sur la sécurité.
Les chercheurs en cybersécurité Andreas Makris et Kevin Finisterre ont identifié une interface utilisée pour la configuration Wi‑Fi des robots Unitree. Les paquets sont chiffrés, mais les paramètres cryptographiques sont codés en dur dans le firmware et ont été rendus publics par les chercheurs. En chiffrant la chaîne « unitree » avec ces clés, un attaquant active un flag d’authentification sommaire et obtient l’accès au mécanisme de configuration. Une fois l’authentification franchie, il est possible d’injecter un SSID ou un mot de passe Wi‑Fi contenant des commandes malveillantes, lesquelles sont exécutées sans validation par une fonction système.
La combinaison d’un secret faible, de clés codées en dur et d’un appel système sans assainissement des entrées constitue la chaîne d’erreur qui permet à l’exploit de fonctionner. Le dépôt GitHub associé fournit le détail technique et un proof‑of‑concept démontrant la séquence d’attaque.
Modèles touchés et portée opérationnelle
L’exploit impacte les modèles Unitree Go2 et B2 (quadrupèdes) ainsi que les G1 et H1 (humanoïdes), selon les fichiers d’analyse publiés. Ces robots sont déjà déployés auprès d’acteurs variés, y compris des laboratoires, des entreprises et des forces de l’ordre en phase de test. La présence de ces machines dans des environnements opérationnels rend l’impact potentiel bien plus dévastateur.
Le caractère sans fil de la vulnérabilité la rend « wormable » : un robot compromis peut scanner son voisinage BLE et tenter d’infecter d’autres unités à portée, créant ainsi un botnet physique de robots. Cette capacité élève le risque d’actions coordonnées et autonomes dirigées par un attaquant distant.
Chronologie de la divulgation et responsabilité
Les chercheurs affirment avoir contacté Unitree dès le mois de mai pour une divulgation responsable. Après des échanges initiaux puis un silence prolongé, ils ont publié les détails le 20 septembre 2025. Selon eux, l’absence de réponse ou la lenteur des correctifs a motivé la mise dans le domaine public de la preuve de concept. Cette trajectoire soulève une interrogation opérationnelle et éthique : quand la non‑réponse d’un fabricant justifie‑t‑elle une publication publique, au risque de mettre en péril les entreprises clientes ?
Des experts en cybersécurité robotique soulignent qu’ignorer les remontées de vulnérabilités compromet la confiance et accroît le risque global pour l’écosystème robotique. L’antécédent d’autres problèmes découverts sur les plateformes Unitree renforce la nécessité d’un dialogue plus structuré entre fabricants et chercheurs.
À court terme, les chercheurs recommandent de désactiver la connectivité Bluetooth des robots affectés et de les raccorder à des réseaux Wi‑Fi isolés. Ces mesures réduisent la surface d’attaque immédiate mais ne dissolvent pas la racine du problème.
Les correctifs attendus sont clairs : suppression des clés codées en dur, renforcement de l’authentification initiale, assainissement strict des entrées avant tout appel système et mise en place d’un mécanisme de mise à jour sécurisée et vérifiée. Les fabricants doivent également formaliser des procédures de divulgation responsable et répondre rapidement aux signalements.
Conséquences pour le marché
Pour les intégrateurs, les DSI et les responsables d’achats, UniPwn modifie les critères de sélection des systèmes robotiques : la robustesse de la sécurité en conception devient un critère financier et de conformité. L’usage en contexte sensible, y compris en sécurité publique ou dans l'industrie, exigera des garanties techniques et contractuelles plus strictes.
À moyen terme, l’incident devrait pousser les fabricants de robots à intégrer des audits indépendants, des programmes de primes aux chercheurs en sécurité et des architectures matérielles et logicielles moins perméables (gestion sécurisée des clés, enclave matérielle, politique de mise à jour signée). Ces mesures rétabliront une part de confiance et réduiront le risque systémique sur le marché.
