DJI et les flous de sécurité

Un article publié par le New York Times met en cause le constructeur DJI. Son titre : « un drone chinois à succès présente des faiblesses en matière de sécurité ». Voilà qui vient s’ajouter à la longue liste des batailles menées par l’administration américaine face à DJI (voir ici). Pourtant cet épisode est un peu nouveau, puisqu’il repose en partie sur une société française, Synacktiv. Elle est spécialisée dans l’accompagnement des sociétés dans l’amélioration de la sécurité de leur système informatique. Elle a publié sur son site, le 12 juillet 2020, une étude du logiciel DJI GO 4.

Ce qu’affirme cette étude ?

DJI n’a pas amélioré la transparence de son logiciel DJI GO 4 pour Android, employant des techniques semblables aux logiciels malveillants comme des outils anti-debug, du cryptage dynamique.
Les recherches ont montré que le logiciel ordonne au smartphone d’installer une mise à jour ou un nouveau logiciel, selon un fonctionnement proche de celui des malwares. Google n’a pas la possibilité de contrôler l’intégrité des téléchargements et des installations.
Les permissions accordées à DJI GO 4 lui offrent l’accès à des données sensibles du smartphone comme le carnet d’adresses, le micro, la caméra, la position, le stockage.
Le composant MobTech utilisé par DJI GO 4 dans ses versions récentes collecte des données telles que l’IMSI, IMEI, le numéro de série de la carte SIM. Des données sensibles qui, selon Synaktiv, n’ont pas d’intérêt pour les vols, mais peuvent être utilisées à des fins malveillantes.
L’application DJI GO 4 ne se ferme pas complètement quand on la quitte, elle continue à tourner en tâche de fond et à faire des requêtes réseau.
La version iOS de DJI GO 4 ne repose pas sur les mêmes techniques ni les mêmes outils.

La conclusion de l’étude de Synacktiv ? « Il est recommandé aux utilisateurs de drones DJI de faire preuve de prudence, en raison des risques de fuite ou d’utilisation abusive de données sensibles, et des fonctionnalités de commande et de contrôle cachées, apparemment non nécessaires pour une utilisation sûre ou sécurisée du produit ».

Qui a commandé l’étude ?

Le client de cette étude n’est pas mentionné par Synacktiv. La société américaine Grimm a publié un rapport de validation de l’étude de Synacktiv sur son site. On y trouve une information intéressante : « Compte tenu de la récente controverse avec les drones DJI, un fournisseur de technologies de défense et de sécurité publique a cherché à enquêter sur les implications des drones DJI sur la vie privée avec l’application Android DJI GO 4. Pour mener son analyse, le fournisseur s’est associé à Synacktiv qui a effectué une analyse dynamique et statique approfondie de l’application ». Evidemment, le nom du client de l’étude n’est pas mentionné. Difficile de savoir de qui il s’agit, la concurrence est rude dans le monde des drones. Le nom de Parrot circule sur les réseaux sociaux, sans doute parce que le lancement de son Anafi USA avait été accompagné d’une punchline explicite : « ne faites pas confiance aux drones chinois » (voir ici). Mais rien n’indique qu’il s’agit de la société française.

La réponse de DJI ?

Le constructeur DJI a d’ores et déjà publié un communiqué à ce sujet, en revenant sur la plupart des points soulevés par Synacktiv.

« Lorsque nos systèmes détectent qu’une application DJI n’est pas la version officielle – par exemple, si elle a été modifiée pour supprimer des fonctionnalités de sécurité de vol critiques telles que le géorepérage ou les restrictions d’altitude – nous en informons l’utilisateur et lui demandons de télécharger la version officielle la plus récente de l’application sur notre site web. Dans les versions futures, les utilisateurs pourront également télécharger la version officielle sur Google Play si elle est disponible dans leur pays. Si les utilisateurs ne consentent pas à le faire, leur version non autorisée (piratée) de l’application sera désactivée pour des raisons de sécurité. Les modifications non autorisées des applications de pilotage de DJI ont engendré des inquiétudes par le passé, et cette technique est conçue pour aider à garantir que nos mesures de sécurité de l’espace aérien soient appliquées de manière cohérente.
Parce que nos clients loisir souhaitent souvent partager leurs photos et vidéos avec leurs amis et leur famille sur les réseaux sociaux, DJI intègre les réseaux sociaux aux applications grand public via leurs SDK natifs. Nous devons régler les questions de sécurité par rapport à ces SDK avec leurs services de médias sociaux respectifs. Cependant, notez que le SDK n’est utilisé que lorsque nos utilisateurs l’activent de manière proactive.
DJI GO 4 n’est pas en mesure de redémarrer sans intervention de l’utilisateur, et nous étudions pourquoi ces chercheurs affirment l’avoir constaté. Nous n’avons pas été en mesure de reproduire ce comportement lors de nos tests jusqu’à présent.
Les vulnérabilités hypothétiques décrites dans ces rapports seraient mieux caractérisées comme bugs potentiels, que nous avons tenté d’identifier de manière proactive grâce à notre programme Bug Bounty [voir ici], par lequel les chercheurs en sécurité divulguent de manière responsable les problèmes de sécurité qu’ils découvrent en échange de rétributions pouvant atteindre $30000 […]
Les composants logiciels MobTech et Bugly identifiés dans ces rapports ont été précédemment supprimés des applications de pilotage de DJI après que des chercheurs précédents aient identifié des failles de sécurité potentielles. Mais rien n’indique qu’ils aient été exploités ni utilisés dans les systèmes de pilotage de DJI destinés aux clients gouvernementaux et professionnels.
L’application DJI GO 4 est principalement utilisée pour contrôler nos drones récréatifs. Les drones DJI conçus pour les agences gouvernementales ne transmettent pas de données à DJI.
DJI a depuis longtemps demandé la création de normes industrielles pour la sécurité des données des drones, un processus qui, nous l’espérons, continuera à fournir des protections appropriées aux utilisateurs de drones soucieux de la sécurité. Si ce type de fonctionnalité, destiné à assurer la sécurité, constitue un problème, il doit être géré avec des normes objectives qui peuvent être spécifiées par les clients […] »

Que faut-il en penser ?

Je ne suis pas armé pour décortiquer et commenter la pertinence de l’étude de Synacktiv, ni sa validation par Grimm. La conclusion simpliste ? Utilisez un smartphone iOS avec DJI GO 4, puisque l’étude indique que la version iOS est exempte des fonctions reprochées à la version Android. Plus sérieusement, certains sujets ont déjà été pris en compte par DJI, par exemple l’abandon de l’usage de modules appartenant à des sociétés de traitement des données Big Data comme MobTech dans les versions récentes de DJI GO 4. Une question revient souvent : DJI transmet-elle les données de ses clients au gouvernement chinois, à l’instar d’autres sociétés chinoises, comme l’assurent certains observateurs ? Je n’ai pas la réponse, qui est sans doute autant politique qu’informatique.

Intégrité des apps

D’autres reproches, comme la vérification de l’intégrité des applications et les mises à jour obligatoires, apparaissent comme des trous de sécurité potentiels alors qu’ils sont justement présentés par DJI comme des réponses à des craintes concernant la sécurité et la sûreté. C’est paradoxal, mais…

… ce n’est que le début !

Car le sujet de l’intégrité des applications deviendra particulièrement sensible lorsque la réglementation européenne entrera en vigueur, au 1er janvier 2021 : elle imposera aux constructeurs des outils obligatoires de limitation en hauteur, et des NFZ en lien avec les cartes de chaque pays. Qui sera inquiété si un drone est utilisé de manière malveillante avec un logiciel hacké ? Le pilote ? Le constructeur ? – sachant que ce dernier risque de se retrouver seul sur le banc des accusés si le pilote n’est pas identifié. A suivre…

2 commentaires sur “DJI et les flous de sécurité”

Paul dit :

24 Juil ’20 à 17 h 35 min

> elle imposera aux constructeurs des outils obligatoires de limitation en hauteur, et des NFZ en lien avec les cartes de chaque pays.

Quid des constructeurs qui proposent une API pour que des appli tierces puissent controller le drone ?
Fred dit :

24 Juil ’20 à 19 h 02 min

@ Paul : Excellente question !

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Cookie	Durée	Description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.