Selon Cybernews, une base de données AeroScope de DJI était accessible sans protection chez Amazon Web Services
Selon Cybernews, une agence spécialisée dans la sécurité des données, a découvert le 11 juillet 2022 qu’une base de données de 54,5 Go comprenant plus de 90 millions d’enregistrements était accessible sans sécurisation. Ces enregistrements provenaient de 66 appareils de détection des drones AeroScope (voir ici), 53 basés aux Etats-Unis, 6 au Qatar, et quelques autres en France, en Allemagne et en Turquie. Les données ? Il s’agissait des logs des vols, comprenant les modèles de 80.000 drones avec leurs numéros de série, les trajectoires de vol, la position de la radiocommande, etc. autrement dit les données mémorisées par AeroScope.
A qui appartiennent les données ?
Cybernews assure ne pas avoir été en mesure de déterminer le propriétaire des données, même avec l’aide de spécialistes. DJI a indiqué à l’agence que la base de données ne leur appartenait pas : elle était hébergée par un client sur AWS (Amazon Web Services), le service de stockage cloud du géant de la distribution. AWS et DJI ont été prévenus de la faille de sécurité par Cybernews pour prendre des mesures de protection des données. Mais qui est ce client de DJI et d’AWS qui opère dans plusieurs pays ? Selon DJI, la vente d’AeroScope est destinée exclusivement « aux forces de l’ordre et aux autorités en charge du trafic aérien ».
Les réactions ?
Selon Cybernews, AWS a réagi en faisant part de ce « problème de sécurité au client concerné pour qu’il soit prévenu et qu’il puisse agir en conséquence ». De son côté, le porte-parole de DJI Adam Lisberg m’a indiqué que « comme le note [Cybernews], les données n’étaient pas détenues par DJI, et nous n’avons aucune idée de qui les a générées. Le rapport indique en outre que l’ensemble de données ne semble pas inclure d’informations personnellement identifiables. […] Néanmoins, nous prévoyons de demander à tous nos clients d’AeroScope de s’assurer qu’ils utilisent des protocoles appropriés pour sécuriser leurs données ».
Et demain ?
DJI rappelle que le Remote ID aux Etats-Unis (voir ici) permettra de construire des bases de données du type de celle débusquée par Cybernews, mais par n’importe qui puisque les données transmises par les drones seront librement accessibles en temps réel. Ce pourront être les forces de l’ordre, des particuliers, des sociétés, etc. En Europe, l’identification électronique à distance fonctionnera sur un principe semblable, pour des risques de diffusion des données… semblables.
Source : Cybernews
