Les données de DJI Drones temporairement accessibles via le forum des utilisateurs

Un DJI Phantom 4 Pro+ © REUTERS
Pieterjan Van Leemputten

Le fabricant de drones DJI vient de colmater une brèche potentiellement dangereuse. Elle permettait en fait de visionner quasiment toutes les données, telles les vols, photos et vidéos des appareils.

Rien ne cloche à propos des appareils de DJI, l’un des principaux fabricants de drones à la consommation et professionnels. Mais tel fut bien le cas du compte que les clients associent à leur drone en combinaison avec le forum des utilisateurs.

Les chercheurs en sécurité Oded Vanun, Dikla Barda et Roman Zaikin de l’entreprise de sécurisation Check Point Software ont découvert une faille dans le processus d’identification sur le forum de DJI. Les mêmes données de login y sont utilisées que pour la plate-forme des drones de DJI, où les utilisateurs peuvent conserver leurs images dans le nuage. Quiconque parvient à inciter les utilisateurs sur le forum à cliquer sur un lien mal intentionné, est capable de collecter des cookies (mouchards) de ces données de login.

Si cela marche, un pirate peut alors avoir accès au compte DJI de l’utilisateur. Si ce dernier l’a activé, le hacker y trouve des données relatives aux routes et journaux de vol, mais aussi aux photos et vidéos que le drone a effectuées. Pour les comptes professionnels, qui utilisent le logiciel FlightHub, il est ainsi aussi possible de visionner des cartes et les photos/vidéos réalisées en direct par le drone en vol.

L’utilisateur que vous êtes, doit-il se faire du souci pour autant? Probablement pas. Il n’y a provisoirement aucune preuve que la faille ait été effectivement abusée. Check Point avait en mars déjà averti DJI du problème, et le fabricant de drones l’avait résolu en catimini au cours de ces derniers mois. Check Point elle-même estime qu’il y a peu de risque d’abus.

L’entreprise de sécurité a inséré dans un message paru sur son blog des explications plus techniques, entre autres sur la façon dont DJI a utilisé via la structure OAuth un jeton pour identifier les utilisateurs, ainsi que sur la manière dont ces données ont pu être interceptées.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire