Edgesource est une société américaine basée à Alexandria en Virginie qui propose des expertises destinées à une clientèle dans la défense, le renseignement, mais aussi pour des besoins civils et commerciaux.
Pour mémoire, AeroScope (voir ici) est un outil destiné aux administrations qui permet de capter les informations diffusées par tous les drones récents de DJI. Ces informations sont le numéro de série du drone, la position du drone, sa hauteur de vol, son cap, sa vitesse, la position de la radiocommande, etc.
La technologie ressemble à l’identification à distance européenne, au signalement électronique français et aux Remote ID américain et japonais, mais elle a été mise en place par DJI bien avant toutes les autres. Par ailleurs, le signal à destination d’AeroScope est émis en même temps que les autres technologies imposées par les réglementations (Identification EU, Signalement FR et Remote ID américain et japonais).
Le contexte de l’étude de Edgesource ?
Dongle de mise à jour AeroScope Stationary.
Fin 2023, DJI a surpris les clients d’AeroScope avec une mise à jour inattendue (voir ici) sous la forme d’un module (une clé physique à brancher en USB) pour les versions mobile et fixe. En indiquant, dans les notes de mise à jour, que la mise à jour était nécessaire pour assurer la compatibilité avec les futurs appareils de DJI. Une mise à jour obligatoire pour la continuité du service, donc.
Ce qui dit l’étude ?
Voici les points-clés qui apparaissent dans l’étude de Edgesource.
Les drones de DJI envoyaient les informations de manière non chiffrées, et AeroScope se chargeait de les capter et de les afficher en temps réel. Désormais, le drone établit une liaison avec AeroScope avec un échange de clé pour assurer un chiffrage des données à bord du drone, puis un déchiffrage du côté d’AeroScope. Donc théoriquement, sans AeroScope mis à jour, il n’est plus possible de récupérer les données émises par les drones de DJI.
Le module de mise à jour à pour but de… mettre AeroScope à jour. Mais on ne sait pas exactement ce que fait le module. Pour cette raison, Edgesource recommande que « les utilisateurs disposant d’AeroScope installé et connecté directement à un réseau local [fassent] preuve de prudence avant de l’installer et de mettre à jour le firmware ».
Crédit photo : http://blogtrepreneur.com/tech
Edgesource suspecte que les coordonnées GPS du drone ou d’AeroScope s’il est équipé d’une antenne GPS (il n’y en a pas par défaut) puissent être utilisées pour empêcher l’utilisation du système dans certaines régions. « Nous sommes en train de tester cette hypothèse ». Pour mémoire, le bridage à distance avait été dénoncé par l’Ukraine (voir ici), mais sans que des preuves soient apportées.
Le rapport indique que « l’obfuscation du code du module rend l’analyse du firmware difficile et augmente la taille du fichier de cinq à dix fois en incluant un grand nombre de décrypteurs et de gestionnaires de compression ». Si le mot ne vous dit rien, « Obfuscation » est un mot dérivé de l’anglais qui signifie « brouiller le code » dans le sens de rendre plus difficile l’extraction d’informations avec des techniques de reverse-engineering. C’est-à-dire de tenter par analyse et déduction de comprendre comment fonctionne du code informatique.
Crédit photo : www.cerillion.com/Products/SaaS/Cerillion-Skyline
Edgesource insiste sur le manque d’informations concernant le comportement du firmware présent sur le module de mise à jour. Ses recommandations sont de prendre en compte l’éventualité d’un risque lors du déploiement dans un environnement mal contrôlé. « Pour tout déploiement d’AeroScope loué ou géré, les mises à jour à distance du firmware sans discussion ni approbation préalables représentent de graves incidents de cybersécurité et doivent être prises en compte ».
Le rapport pose des questions sur l’intégrité des données AeroScope. « Le signal d’un appareil identifié, même s’il ressemble à celui d’un drone réel, est-il vraiment un signal envoyé depuis un drone réel ?». En d’autres mot, Edgesource évoque la possibilité que de fausses informations puissent envoyées à un AeroScope, notamment la position de la télécommande (et donc du pilote).
Que faut-il en retenir ?
Edgesource Windtalker.
L’obfuscation pratiquée par DJI rend le reverse-engineering compliqué. Dans quel but ?
On peut supposer que le chiffrage récent des données AeroScope par DJI soit tout simplement animé par la volonté de freiner la diffusion d’outils de détection des drones. Car la plupart des fabricants de ce type de matériel utilisent la technologie de DJI sans l’accord du constructeur, par reverse-engineering. D’ailleurs Edgesource commercialise Windtalker, un outil de détection qui fonctionne sur ce principe.
L’obfuscation permet aussi à DJI de rendre le code plus résistant aux assauts des hackers. Car le hacking permet, par exemple, de modifier les limites imposées par le firmware comme la hauteur maximale de vol, de prendre le contrôle radio du drone, etc.
Oui mais…
Crédit photo : Adobe Firefly.
L’obfuscation rend aussi le code suspect puisqu’il est difficile de savoir ce qu’il fait ou ce qu’il est capable de faire. Ce qui ressort de l’étude de Edgesource, c’est que l’absence d’informations sur les fonctions exactes du module de mise à jour d’AeroScope requiert de prendre des précautions.
Edgesource se garde d’affirmer que DJI a forcément introduit du code malveillant dans ses outils logiciels, mais indique que cela pourrait être une possibilité. Et que, dans le doute, la mise à jour d’AeroScope n’est pas compatible avec l’usage du produit dans un environnement forcément sensible puisqu’il est uniquement commercialisé à des administrations.
En conclusion ?
Les outils de détection de drones efficaces ne peuvent pas se satisfaire de la solution AeroScope de DJI, notamment parce qu’ils ne détectent que les drones du constructeur, et uniquement ceux qui diffusent le signal. Ils ne peuvent pas reposer sur des outils rendus compatibles avec AeroScope par reverse-engineering puisque le chiffrage les rendra inopérants.
Quelle est la solution pour détecter des drones ? Elle consiste à multiplier les sources de détection : AeroScope, les outils réglementaires imposés par les états pour diffuser les données des drones à destination des forces de l’ordre, la détection des fréquences radios, la signature sonore, l’écho radar, la visualisation thermique, etc.
Le bonus !
Le store de Google Play qui héberge les applications destinées aux smartphones et tablettes Android ne distribue plus les nouvelles versions de l’application DJI Fly. Pour se la procurer, il faut désormais la télécharger directement chez DJI (ici).
La raison ? Edgesource assure qu’il s’agit d’une conséquence de l’obfuscation du code de DJI : « DJI n’est plus disponible sur le Google Play Store pour proposer ses applications aux utilisateurs, car son utilisation d’outils d’obfuscation ne permet pas à Google d’examiner le code de l’application et viole donc les politiques du Google Play Store. Cette technique ne signifie pas forcément que du code malveillant est diffusé dans ces applications, ni que DJI n’ait pas de raison valable pour recourir à la protection du code source (à savoir des années de piratage de produits, de contournements et d’autres modifications de leurs appareils) d’une manière qui n’était pas prévue à l’origine. Cela remet cependant en question ce qui existe exactement dans le code (et augmente considérablement le coût et la difficulté de leur révision pour des raisons de sécurité)».
Un commentaire sur “Edgesource a publié une étude sur « les risques de sécurité du module de mise à jour d’AeroScope » de DJI”
Encore une boite qui fait du DJI bashing sur du vent pour se mettre en avant… C’est fatiguant.
Cette histoire d’obfuscation c’est quand même bien du vent… N’importe quel logiciel est un minimum protégé.
Sans compter que les règles de la FAA pour le remoteID demande une sécurité des firmwares pour empêcher les modifications, ce qui est clairement de l’obfuscation…
Les USA sont sont nulles d’avoir gâché leur talent et investissement dans des boites qui ont rien ou presque produit. Qu’ils arrêtent leur bashing des technologies extérieur et créent quelque choses du même niveau que DJI, et sans les modules d’espionnage… Parce qu’a ce niveau, les boites US ne sont pas vraiment des exemples et tout aussi mauvaise que DJI. Voir pires car protégé par le système législatif…
Nous utilisons des cookies sur notre site Web pour vous offrir l'expérience la plus pertinente en mémorisant vos préférences et les visites répétées. Si vous continuez à utiliser ce site, nous considérons que vous consentez à l'utilisation des cookies.
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Durée
Description
cookielawinfo-checbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Edgesource est une société américaine basée à Alexandria en Virginie qui propose des expertises destinées à une clientèle dans la défense, le renseignement, mais aussi pour des besoins civils et commerciaux.
Pour mémoire, AeroScope (voir ici) est un outil destiné aux administrations qui permet de capter les informations diffusées par tous les drones récents de DJI. Ces informations sont le numéro de série du drone, la position du drone, sa hauteur de vol, son cap, sa vitesse, la position de la radiocommande, etc.
Voici les points-clés qui apparaissent dans l’étude de Edgesource. 
Le store de Google Play qui héberge les applications destinées aux smartphones et tablettes Android ne distribue plus les nouvelles versions de l’application DJI Fly. Pour se la procurer, il faut désormais la télécharger directement chez DJI (ici). 
La raison ? Edgesource assure qu’il s’agit d’une conséquence de l’obfuscation du code de DJI : « DJI n’est plus disponible sur le Google Play Store pour proposer ses applications aux utilisateurs, car son utilisation d’outils d’obfuscation ne permet pas à Google d’examiner le code de l’application et viole donc les politiques du Google Play Store. Cette technique ne signifie pas forcément que du code malveillant est diffusé dans ces applications, ni que DJI n’ait pas de raison valable pour recourir à la protection du code source (à savoir des années de piratage de produits, de contournements et d’autres modifications de leurs appareils) d’une manière qui n’était pas prévue à l’origine. Cela remet cependant en question ce qui existe exactement dans le code (et augmente considérablement le coût et la difficulté de leur révision pour des raisons de sécurité) ».
Encore une boite qui fait du DJI bashing sur du vent pour se mettre en avant… C’est fatiguant.
Cette histoire d’obfuscation c’est quand même bien du vent… N’importe quel logiciel est un minimum protégé.
Sans compter que les règles de la FAA pour le remoteID demande une sécurité des firmwares pour empêcher les modifications, ce qui est clairement de l’obfuscation…
Les USA sont sont nulles d’avoir gâché leur talent et investissement dans des boites qui ont rien ou presque produit. Qu’ils arrêtent leur bashing des technologies extérieur et créent quelque choses du même niveau que DJI, et sans les modules d’espionnage… Parce qu’a ce niveau, les boites US ne sont pas vraiment des exemples et tout aussi mauvaise que DJI. Voir pires car protégé par le système législatif…