DJI et le trou de sécurité dévoilé par Check Point Research

3
2355

Une équipe de Check Point Research a dévoilé l’existence d’un trou de sécurité affectant les appareils du constructeur DJI. Ce qu’un hacker est en mesure de faire ?

  • accéder aux journaux de vol, aux photos et aux vidéos.
  • accéder à la caméra en temps réel et à la carte, pendant le vol.
  • accéder aux données présentes sur le compte DJI du pilote.

Voilà qui est préoccupant

En effet, cela permet en théorie d’accéder aux informations d’identité du pilote, à la position du vol, aux images qu’il filme. Mais il faut tout de même relativiser. Les journaux de vol ne sont accessibles que si vous les avez synchronisés via DJI GO 4. L’accès à la caméra en temps réel n’est possible qu’en cas d’utilisation du logiciel de gestion de flottes FlightHub, destiné aux professionnels. En plus de ces requis, l’ensemble des informations n’est accessible à un hacker que si vous êtes connecté au forum officiel anglais de DJI (ce n’est pas le site de DJI ni la boutique DJI en ligne). A ne pas confondre avec le DJI Forum francophone, totalement indépendant des serveurs de DJI.

Ce qu’en dit DJI ?

Le constructeur, par la voix du président de la marque pour les Etats-Unis, Mario Rebello, a indiqué avoir été prévenu du trou de sécurité par Check Point Research avant qu’il ne soit dévoilé. Il a ajouté que le problème était considéré comme très sérieux, bien qu’à faible probabilité d’occurrence. DJI assure que le problème a été identifié et corrigé sur ses serveurs.

Assurer la sécurité ?

En matière de sécurité numérique, le 100 % n’existe pas, même avec des systèmes particulièrement testés et surveillés. Plus ces systèmes sont répandus, plus la probabilité que surviennent des attaques et des intrusions est élevée. Le choix de DJI, pour réduire les risques, a été de lancer un projet de veille appelé DJI’s Bug Bounty Program. C’était à l’été 2017, on vous en parlait ici. Il repose sur la constatation que les tests de vulnérabilité en simulation, aussi nombreux soient-il, ne peuvent rivaliser avec un usage réel.

Le principe ?

Il consiste à inciter les hackers à indiquer à la marque d’éventuelles vulnérabilités de ses outils, avec une rémunération indexée sur la gravité du problème. La condition étant évidemment de garder l’information confidentielle, le temps que DJI identifie et corrige le souci. Ca fonctionne ? Ce trou de sécurité mis en évidence par Check Point Research montre que oui, ça fonctionne. Dans son communiqué de presse, DJI indique qu’il a distribué $75 000 à 87 chercheurs qui ont mis en évidence 200 failles de sécurité.

Faut-il s’inquiéter ?

Oui ! Mais ni plus ni moins qu’avec les autres outils numériques que sont les ordinateurs, les smartphones, les connexions à Internet, les réseaux sociaux, etc. Plus vos données sont diffusées, moins leur sécurité est assurée, c’est aussi simple que cela. En pratique, si vous craignez de voir vos données de vol dans la nature, ne synchronisez pas les informations avec DJI GO 4…

Sources : Check Point Research et DJI

3 COMMENTAIRES

  1. Pour moi c’est DJI qui est le premier trou de sécurité, mais bon c’est pas pire que les autres Gogole et consoeurs qui tous en savent plus sur nous que nos amis et proches 🚏

  2. Hacker les positions GPS ça fait déjà un bon moment que ça s’est fait …….. demandez à nos militaires ……… ils ont eu de grosses surprises !

  3. pour accéder à la caméra du drone en temps réel, il doit en falloir de sacré bonnes antennes Wifi.
    à moins de le relier via courant porteur, autant pour moi…

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.