L’US Army ne veut plus des drones DJI
Le site sUAS News s’est procuré une note interne de l’US Army datée du 2 août 2017 dans laquelle il est demandé aux troupes américaines de « cesser toute utilisation et désinstaller les applications DJI, retirer les batteries et les unités de stockage des appareils ». Cette note, un temps considérée comme douteuse, a finalement été reconnue authentique.
Que se passe-t-il ?
Ce que dit l’armée est résumé ainsi : « En raison de la prise de conscience des vulnérabilités des produits de DJI aux cyber attaques, il est demandé à l’US Army d’arrêter toute utilisation des produits DJI ». Est-ce parce qu’il a été rendu public qu’il était possible de hacker le firmware des appareils de DJI (voir les outils de CopterSafe) ? Ou est-ce que cela fait suite à un article publié par sUAS News qui laissait prévenait de la collecte d’informations par DJI sur les vols de toutes les machines de la marque. 
Les appareils de DJI sont-ils vraiment sujets aux cyber attaques ? Probablement, puisque « l’intelligence » des drones de la marque repose sur du logiciel à bord des appareils, sur les smartphones, sur des connexions sans fil et sur un stockage de données de type Cloud. Un terreau parfait pour des cyber attaques. Est-ce la seule raison ?
Stockage…
Les outils de DJI mémorisent toutes données de vol, y compris la date et l’heure, l’itinéraire exact, des photos, et même un enregistrement via le micro du smartphone – si le pilote le désire. Les données restent-elles sur le terminal mobile du pilote ? Normalement, elles ne sont envoyées sur les serveurs de DJI qu’à la demande du pilote. Certaines voix assurent que des données sont transmises sans accord préalable, de manière transparente, notamment au gouvernement chinois. Mais DJI a démenti formellement ces accusations, dans un long communiqué de presse.
Potentiellement….
Malgré le démenti de DJI, le doute au sujet des services de DJI est peut-être la principale raison pour laquelle l’armée américaine s’inquiète. Car la position des vols, leur fréquence, les images prises en l’air, sont potentiellement riches en enseignements pour connaître les habitudes des pilotes, et donc de leurs employeurs. Plusieurs forces de sécurité françaises, militaires et civiles, qui utilisent des appareils de DJI, ont déjà tiré la sonnette d’alarme pour la même raison. Car en effet on peut apprendre bien des choses en étudiant les vols de pilotes affectés à des missions critiques, ou même en simple entrainement. Mais tout cela, c’est « potentiellement ».
Comment le vérifier ?
Pour en avoir le cœur net, il faudrait surveiller, décrypter et étudier toutes les trames des connexions d’un smartphone ou d’une tablette. Pas simple. A ce jour, aucune étude sur le sujet n’est convaincante. « Avec une simple recherche sur Google, les données récupérées par DJI sur vos vols (images, position et carnets de vols) et des données audio peuvent être consultées sans votre accord »., avait affirmé Kevin Pomaski, l’auteur de l’article publié sur sUAS News. Mais jusqu’à preuve du contraire, ce n’est pas le cas.
La position de DJI
Elle a été recueillie par le site The Verge : « Nous sommes surpris et déçu à la lecture des mémos de l’armée américaine sur les drones DJI dans la mesure où nous n’avons pas été consultés pour cette décision. 
Nous sommes prêts à travailler avec toute organisation, l’armée américaine y compris, qui s’inquiéterait de la manière dont nous gérons les questions de cyber attaques ». A l’usage, peut-on éviter que les données sortent des drones de DJI ? Oui si on utilise les machines sans smartphone – mais cela réduit leur intérêt. Alors peut-on éviter que les données sortent du smartphone ? Oui s’il est privé de toute connexion à Internet – mais c’est difficile à garantir !
Demain ?
La décision de l’US Army est brutale, et ne sera pas sans conséquences sur le travail des militaires qui comptaient sur les outils de DJI. Peut-être est-elle liée, en partie, à la volonté du président Donald Trump de privilégier l’économie américaine et de s’affranchir d’une dépendance à la Chine – un pari difficile dans le domaine des nouvelles technologies. Pour regagner la confiance de ses clients institutionnels, le constructeur devra sans doute ouvrir son code source aux organisations qui en feront la demande… DJI est-il le seul constructeur concerné ? Non, les informations des vols sont également stockées par ses concurrents.
Le problème est un peu similaire avec les interfaces réseau et toutes celles des télécoms, tous les organes stratégiques et surtout militaire devraient être conçus par l’armée elle même pour éviter les soucis.
Déjà en tant que particulier j’ai du mal à utiliser des logiciels au code source closed, alors une armée c’est plus que du bon sens de se méfier de ce qu’ils ne maîtrisent pas.
Et je dit ça sans remettre en question la qualités des drones dji ou quoi que ce soit 😉
Les ricains sont en tout cas moins con que la défense Française… Il n’y a qu’à regarder cette émission passée sur France2 pour se rendre compte de la débilité du ministère de la défense Française (allez directement à la 42ieme minute) :
https://youtu.be/6Ohjyeb8q-A
J’adore surtout la justification du grand ponte de la défense, un grand moment !
Alors si il y a des risques de quoique ce soit avec DJI, on sera probablement les premiers à continuer à utiliser ce matériel dans des opérations critiques.
Une partie censurée du reportage d’Élise Lucet : http://www.francetvinfo.fr/monde/europe/video-cash-investigation-marches-publics-pourquoi-l-armee-italienne-a-choisi-des-logiciels-libres-et-pas-microsoft_1856903.html
Un complément à ce reportage sur le défense française et Microsoft. À apprécier en gardant en tête que la défense « doit » utiliser du Microsoft, car c’est ce qui est utilisé à l’OTAN !
http://www.francetvinfo.fr/monde/europe/video-cash-investigation-marches-publics-pourquoi-l-armee-italienne-a-choisi-des-logiciels-libres-et-pas-microsoft_1856903.html
Les ricains ne sont pas des enfants de cœur (contrairement à nos chefs « étoilés » ?). Ils ont largement démontré qu’ils en connaissent un rayon en matière d’espionnage, et d’une manière générale, de ce qu’on nomme le « renseignement ».
La seule question à se poser est la suivante : nos multirotors « évolués » sont-ils des objets connectés, oui ou non ? Si la réponse est oui, alors on peut tout à fait légitimement s’inquiéter de la sécurité liée à leur utilisation.
http://itsocial.fr/innovation/objets-connectes/top-5-vulnerabilites-objets-connectes/
Et en plus de la censure ! Oui surtout ne pas montrer que l’on peut se passer de ces merdes ! La gendarmerie française utilise le libre mais ne souhaite pas en parler des fois que nos grands pontes les force à revenir dans le ‘droit chemin’… Si c’est pas honteux !
C’est les mêmes blaireaux qui nous pondent des lois anti drone…
Avec un dji phantom 1 ou 2, il y a pas ce soucis, lol
@terry: A part si tu utilises le logiciel DJI sur PC…
Ben bien sur. Ridicule cette armée. Vaut mieux faire confiance à Elise LUCET
Un aspect important est que le protocole radio de DJI a été cassé par plusieurs sociétés privées et permettent de prendre le contrôle des machines. Pas idéal sur un théâtre d’opérations, mais quasi inévitable quand on est leader du marché.
@ Volodia : Tu as des liens vers plus d’infos à ce sujet ?
To cela se nomme en jargon professionnel le « Data-Lake » ou lac de données. Toutes les boites, vos assurances, vos banques, même les constructeurs automobiles, les applis Androïd et Ios (pourquoi croyez vous qu’elles soient gratuites) utilisent tous les moyens à leur disposition pour collecter des données sur notre façon d’utiliser leurs produits et services, mais aussi de se comporter, déplacer, payer etc… Donc qu’un gros comme DjI le fasse, pas étonnant 🙂 La où le bas blesse c’est que l’utilisateur, le consommateur devrait (doit) savoir ce que l’on collecte à son insu et devrait être maître de pouvoir en limiter, en toute connaissance de cause, l’utilisation ou la diffusion …. Mais là c’est pas gagné 🙁
@fred :
Pour dsmx : https://www.undernews.fr/hacking-hacktivisme/icarus-ou-comment-detourner-nimporte-quel-drone-en-vol.html
Pour le reste : https://www.theverge.com/2016/4/20/11466368/skysafe-drones-detect-disable-protection
Ca existe aussi pour du Parrot… Tout ce qui est un peu largement distribué…
Merci à Volodia pour les liens. On pourrait aussi ajouter le « GPS spoofing » expérimenté sur un DJI Phantom:
https://www.syscan360.org/slides/2015_EN_GPSSpoofingofUav_YuanJian.pdf
Dans le domaine du hacking il n’y a aucune limite à l’inventivité :
https://medium.com/@swalters/how-can-drones-be-hacked-the-updated-list-of-vulnerable-drones-attack-tools-dd2e006d6809
Mais y a-t-il des solutions hors démonstrations marketing pour boites d’antivirus, vidéos promotionnelles pour des levées de fonds, travaux universitaires, prise de contrôle de jouets ?
@Fred. Bien sûr, on joue un peu à se faire peur. Il y a peu de chances pour que le multi du pékin lambda attise la convoitise obsessionnelle d’un hacker chevronné dont le rêve consisterait à s’approprier le volatile. La probabilité est très mince pour nous si nous savons rester raisonnables. Mais tout ce qui se situe dans le domaine du possible est toujours susceptible de se produire. Notamment, en ce qui concerne les drones livreurs d’Amazon ou d’autres. Là, à mon avis, le GPS spoofing n’est pas seulement qu’une vue de l’esprit. Les constructeurs de tels engins ont tout intérêt à chiader des solutions robustes (ce qui semble tout à fait à la portée de nos ingénieurs s’ils s’en donnent la peine) !
En tout cas, merci Fred pour nous avoir ouvert les yeux sur un sujet sensible.