Sécurité des données, vie privée, DJI et le rapport Kivu

6
1359

Le constructeur DJI, qui rappelons-le est leader sur le marché des drones de loisir, a fait face ces derniers mois à des critiques sévères concernant la sécurité des données de ses pilotes. Le hacker Kevin Finisterre est parti en croisade contre DJI (voir ici), et l’armée américaine a décidé de ne plus utiliser d’appareils de la marque (voir là). DJI est accusé de stocker des données sur des serveurs, principalement en Chine, à l’insu de ses utilisateurs. Malgré les dénégations de ses porte-parole, le doute est resté ancré. Il est en effet complexe de le vérifier puisqu’il faut étudier les échanges de données entre DJI GO 4 (l’application sur smartphones), le drone en lui-même, et les serveurs distants.

Le rapport indépendant

DJI a choisi de diligenter une étude indépendante pour prouver sa bonne foi. La société choisie est Kivu Consulting, qui opère aux Etats-Unis pour le compte de McDermott Will & Emery LLC, à qui DJI a commandé le rapport. La raison du choix d’une société américaine est probablement liée au fait que les critiques concernant la confidentialité des données proviennent principalement des USA. Peut-on faire confiance à cette société de consulting et à son rapport ? Kivu Consulting semble jouir d’une excellente réputation aux Etats-Unis et ne pas entretenir de relations particulières avec la Chine. Cela dit il faut être lucide : dans le domaine de la sécurité, rien n’est jamais certain à 100 %. DJI m’a communiqué ce rapport de 26 pages, à condition que je ne le reproduise pas, ni les illustrations qui s’y trouvent – ce sont principalement des extraits de code informatique, des requêtes de bases de données, des exemples de paquets de données, des url et adresses IP de serveurs.

Les méthodes d’investigation

Les tests ont été menés sur ldes DJI Spark, Mavic Pro, Phantom 4 Pro et Inspire 2, non fournis par DJI, avec des smartphones iOS et Android. Les recherches concernent les informations générées sur les mobiles par DJI GO 4, y compris celles placées en cache, et sur les données émises sur le réseau depuis l’application DJI GO 4. Les méthodes sont des études des fichiers créés et modifiés sur smartphone par DJI GO 4 (avec un mobile rooté pour Android et le logiciel Cellebrite pour iOS), et des études des trames qui transitent vers et depuis le smartphone via DJI GO 4, et vers et depuis l’application PC et Mac DJI Assistant 2. Kivu Consulting indique avoir eu accès au code source de DJI GO 4, auditionné des développeurs et des responsables de DJI à Shenzhen et Palo Alto.

Les résultats ?

Kivu Consulting note que ni les fichiers à bord des appareils ni les données de DJI GO 4 ne sont envoyés sur des serveurs sans que l’utilisateur n’en fasse la requête. Le rapport indique que les appareils de DJI sont en mesure de collecter des données telles que les photos, les vidéos, mais que les fichiers multimédia ne sont pas enregistrés automatiquement : c’est l’utilisateur qui déclenche leur stockage. L’audio à bord des machines n’est pas enregistré du tout. Il n’y a pas d’enregistrement sonore par défaut sur le smartphone pendant le vol, mais l’utilisateur peut l’activer s’il le désire. Les journaux de vol sont stockés automatiquement sur les drones et dans DJI GO 4, sans possibilité de les désactiver, mais les données ne sont pas transmises à moins que l’utilisateur ne l’autorise expressément (voir ici pour les exploiter).

D’autres informations ?

L’étude de Kivu Consulting met en lumière d’autres échanges de données. On y trouve des diagnostics de l’état du drone, et des performances de l’application DJI GO 4 sur smartphone. Le numéro de série fait partie des données stockées. DJI GO 4 envoie automatiquement la durée des vols, la distance parcourue, le nombre moyen de photos prises chaque vol, mais sans y adjoindre de position GPS ni de données relatives à l’utilisateur. Il est possible de désactiver l’envoi de ces informations dans DJI GO 4, assure Kivu Consulting.

Le cas complexe des zones sensibles

DJI GO 4 envoie sur ses serveurs, il est intéressant de le noter, la position du drone au moment de sa mise en route. Ce n’est pourtant pas une position exacte, indique le rapport de Kivu Consulting après étude du contenu de la base de données, c’est une coordonnée générique ou aléatoire positionnée dans un rayon de 10 km. En clair ? C’est un marqueur qui catégorise l’endroit : par exemple Hong Kong, Paris, Dieppe, ou une position proche mais aléatoire quand il n’y a pas de « point d’intérêt » à proximité.

Pour quoi faire ?

Cette information de position approximative est confrontée à la base de données des zones interdites ou restreintes de vol de DJI. A quoi sert vraiment cet échange de données ? Kivu Consulting ne l’explique pas, mais indique qu’il est possible de prévenir l’envoi de ces informations en coupant la connexion à Internet. Ce qui ne permet pas pour autant de voler en zones interdites, puisque la base de données de DJI est embarquée à bord de ses drones, donc utilisable par DJI GO 4 même sans accès à Internet. Kivu Consulting note qu’un « Local Data Mode » est proposé sur l’application DJI Pilot. Cette fonction n’est pas disponible sur DJI GO 4.

Les informations personnelles et la reconnaissance des visages

Lorsqu’un utilisateur s’inscrit sur le service de DJI, il doit indiquer une adresse mail et un numéro de téléphone. Ce sont les seules informations indispensables, assure Kivu Consulting. Il est possible d’indiquer d’autres données personnelles, mais DJI ne cherche pas à les vérifier. Les utilisateurs peuvent donc conserver leur anonymat s’ils le désirent. Kivu Consulting indique qu’avec le Spark, DJI procède à une reconnaissance des visages. Mais elle ne vise pas à identifier les personnes, uniquement à détecter la présence d’un visage et sa distance par rapport au drone.

Les serveurs de DJI

C’est une notion importante. Kivu Consulting a noté que les serveurs de DJI pour les usages aux Etats-Unis sont ceux d’Amazon Web Services aux USA, à l’exception des données du service Skypixel, qui sont stockées sur les serveurs Cloud d’Alibaba situés aux Etats-Unis. Kivu Consulting note que l’endroit de stockage des données varie selon la position géographique du drone. Ce ne sont par conséquent pas les mêmes serveurs en France ou en Chine. L’étude ne donne pas d’indications supplémentaires, en précisant que ses tests n’ont été conduits qu’aux Etats-Unis. Il n’y a pas non plus d’informations sur d’éventuels tests des différents serveurs. DJI a confirmé à Kivu Consulting que des données stockées sur les serveurs Cloud de la marque avaient été rendues publiques par erreur. Kivu indique avoir vérifié que les correctifs avaient été apportés.

Ce qu’on en pense ?

Le rapport assure qu’aucune donnée ne transite sans votre accord entre votre drone, DJI GO 4, les serveurs de DJI en Europe, en Chine, aux USA. Des conclusions qui balayent d’un revers de la main les interrogations de l’armée américaine – dont la décision semble, par ailleurs, plus politique que guidée par un souci de sécurité. Mais puisque le commanditaire de l’étude est DJI, il convient d’être prudent sur les conclusions du rapport. Pour lever totalement les doutes, il faudrait disposer d’une étude menée par un organisme totalement indépendant de DJI.

Soyez aware

Dans la mesure où il suffit de cliquer à l’écran ou de toucher une icône pour accepter d’envoyer ses données à l’autre bout de la planète, il faut rester attentif. Mais si vous êtes utilisateur de réseaux sociaux, de services en streaming live, de service web, d’objets numériques connectés ou tout simplement d’un smartphone, vous savez déjà que vos données ne vous appartiennent plus vraiment. On ne vous apprendra rien…

6 COMMENTAIRES

  1. Bonjour Fred,
    Petite précision, ce n’est pas DJI qui a choisi Kivu Consulting mais le cabinet d’avocats américain chargé de les défendre face aux allégations de l’US Army.
    Cela change-t-il quelque chose?
    Probablement pas, parce que je doute qu’une société de consulting qui a pignon sur rue à San Francisco s’amuse à biaiser les résultats de son expertise, quel que soit le commanditaire.
    Et par ailleurs il y a aura toujours des sceptiques 🙂

  2. Il me semble que l’application DJI est développée par la filiale américaine de DJI. Dit autrement, on a beaucoup plus à craindre de la NSA (GAG order et autre) que des services secrets chinois.

  3. On peut avoir une vision positive ou négative du partage de données. Comme tu dis il faut être ”aware”.
    Personnellement, je suis un petit exploitant de drone , télépilote professionnel, je synchronise mes vols en ligne sur mon compte DJI.
    J’ai malheureusement eu 2 crash inexpliqués de Phantom 4 Pro en 11 mois, tombés d’un coup sans raison (je pense à des ruptures d’hélice).
    Les 2 fois DJI après avoir étudié mes vols, et pas seulement ceux liés aux crash, m’a remplacé à neuf les P4Pro gracieusement. Alors que je n’ai pas souscrit à leur service Care.
    Donc pour moi le verre est à moitié voir même plein 🙂

    Merci en tout cas pour cet article, comme toujours, très fouillé et intéressant.
    À+
    Jeff

  4. Comme le dit Fred, on est tracés de partout, donc si on ne fait rien d’illégal , on ne craint pas grand chose. Après dans le domaine de la vie privée c’est un peu borderline en effet.
    Je trouve que DjI devrait en ce sens créditer les utilisateurs pour les infos qu’ils envoient en retour….

  5. Fpv_67: c’est déjà un peu le cas. Si tu synchronise tes vols en ligne tu as un système de points DJI qui augmentent.
    Je ne me suis pas trop penché dessus mais potentiellement ça peut donner accès à des petites remises ou goodies.
    J’ai reçu un code d’affiliation par exemple, est ce lié à mes points ??? En tout cas je ne me suis jamais servi de ce système d’affiliation 😀

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.