Drones DJI : une faille cloud permettait de dérober photos et données

drones DJI

Très populaires chez les passionnés d’objets volants, les drones DJI ont vu leur image écornée il y a quelques après la révélation publique d’une faille de sécurité ayant affecté son infrastructure cloud. Des hackers ont ainsi eu la possibilité de dérober les données des utilisateurs mais aussi les photos et vidéos prises avec leur drone.

Les données liées aux drones DJI ont été sérieusement exposées

Si les drones DJI rencontrent un franc succès, nul doute que les ventes vont quelque peu freiner après l’affaire qui touche l’entreprise chinoise.

En effet, c’est en mars 2018 que les chercheurs en sécurité de l’entreprise israélienne ont identifié une faille de sécurité dans l’infrastructure cloud de DJI. Conformément à leurs habitudes, ils ont informé la société chinoise de leur découverte. Celle-ci a ainsi eu le temps de patcher la vulnérabilité avant qu’elle ne soit dévoilée il y a quelques jours au grand public.

Désormais, davantage d’informations ont été communiquées et force est de constater qu’une éventuelle exploitation de la faille de sécurité a pu avoir de lourdes conséquences. D’une part, un hacker a pu se procurer les données des utilisateurs mais aussi les photos et vidéos prises à l’aide des drones DJI. Mais ce n’est pas tout puisqu’un pirate informatique a également pu accéder aux données de localisation ou au flux vidéo des drones, et ce en temps réel. Inquiétant !

Un système d’authentification pas totalement étanche

La faille de sécurité détectée par Check Point se situe au niveau du système d’authentification du cloud et plus précisément des tokens d’authentification, ceux-ci mêmes qui permettent d’accéder aux différents services cloud de DJI sans avoir à se reconnecter systématiquement au compte associé.

Ce système se basait sur une approche dite « Single-Sign On ». Autrement dit, un unique token ouvrait l’accès à l’ensemble du compte d’un utilisateur de drones DJI. Seulement voilà, un cyberattaquant pouvait obtenir ce token soit via un lien malicieux déposé sur le forum DJI, soit via des requêtes sur les sites web de l’entreprise asiatique.

Selon les enquêtes menées à ce jour, cette faille de sécurité n’aurait pas été exploitée et les données des utilisateurs de drones DJI ne seraient donc pas en danger. Il n’empêche que cette affaire démontre une fois de plus que les fabricants d’objets connectés en tout genre doivent faire davantage pour leur sécurité.

No votes yet.
Please wait...

Be the first to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*