Le spécialiste de la cybersécurité Checkpoint a repéré une faille majeure concernant les drones DJI. Le constructeur et Checkpoint évoquent un bug qui donnait potentiellement accès aux photos et aux données personnelles des utilisateurs.

Le 8 novembre Checkpoint et DJI ont publié un communiqué concernant un problème de cybersécurité touchant les drones du fabricant chinois.

Un bug touchait l’infrastructure Cloud de DJI. Un cyberattaquant aurait pu récupérer à distance les photos et les vidéos prises pendant un vol. De même, les informations de vol et les points de géolocalisation étaient à la portée des hackers. Les données personnelles des utilisateurs étaient également en danger. Pire, ce bug impactait le progiciel Flight Hub. Sans la détection de cette faille, l’accès en direct aux caméras, à l’audio et au GPS des drones restait possible.

Les images et les vidéos issues des drones potentiellement à la merci des pirates

Les chercheurs de Checkpoint ont décrit précisément la technique pour mettre en péril les données des utilisateurs des drones DJI. La faille en question touchait le processus d’identification sur le forum du constructeur.

Ils ont découvert que les plateformes Web de l’entreprise utilisaient un système de jeton spécifique pour identifier les utilisateurs enregistrés à travers différents aspects de leur expérience client. Ce single point of failure (SPOF) en faisait une cible de choix pour des pirates. Il suffisait de déchiffrer le système d’authentification pour accéder à pratiquement toutes les données des utilisateurs.

Pour cela, les chercheurs ont prouvé qu’un hacker aurait pu prendre la main sur un cookie utilisé par la plateforme pour accéder aux applications de vol et au compte d’un utilisateur. C’est en cliquant sur un lien malveillant que l’utilisateur aurait déclencher sans le savoir le vol de ses données.

Une réaction rapide de la part de DJI

Cette faille de sécurité a bien évidemment été comblée. CheckPoint a soumis ses remarques à DJI depuis le programme Bug Bounty organisé par le constructeur. Selon les deux entreprises, le bug n’a jamais été exploité jusqu’alors. Il a été identifié comme étant à haut risque, mais difficile à reproduire au vu de la configuration d’attaque à mettre en place.

Mario Rebello, vice-président et directeur national Amérique du Nord chez DJI, a déclaré :

“Nous applaudissons l’expertise dont les chercheurs de Check Point ont fait preuve en divulguant de façon responsable une vulnérabilité potentiellement critique. C’est exactement la raison pour laquelle DJI a créé ce programme Bug Bounty en premier lieu. Toutes les entreprises technologiques comprennent que le renforcement de la cybersécurité est un processus continu et sans fin. La protection de l’intégrité des informations de nos utilisateurs est une priorité absolue pour DJI, et nous nous engageons à poursuivre notre collaboration avec des chercheurs responsables en sécurité tels que Check Point.”