Des clefs électroniques de DJI, leader mondial des drones, étaient en libre accès sur le Web
Des clefs électroniques de DJI, leader mondial des drones, étaient en libre accès sur le Web
Par Jean-Michel Normand
Pendant plusieurs années, la firme DJI avait laissé des codes confidentiels en libre accès sur le web.
AFP/MARTIN BERNETTI
DJI oublie ses clés - Le brusque accès de méfiance de l’armée américaine à l’égard de DJI – en août dernier, l’US Army avait diffusé une note appelant ses troupes à ne plus utiliser ces drones chinois, soupçonnés de présenter des « failles de sécurité » – n’était peut-être pas particulièrement dicté par la crainte de voir les autorités de Pékin organiser la captation de données sensibles. Il n’est pas impossible que les militaires – américains mais aussi australiens – aient, plus prosaïquement, nourri des doutes sur la capacité du constructeur de Shenzen à protéger de manière efficace l’accès à ses données. Et donc à s’exposer à des intrusions de toute origine. Comme le raconte le site anglais The Register, un chercheur en sécurité informatique spécialisé dans les drones, Kevin Finisterre, a découvert il y a plusieurs mois que DJI, numéro un mondial des drones de loisirs, avait laissé accessibles des informations confidentielles, parmi lesquelles des clés privées de chiffrement, sur le service Github (utilisé par de très nombreux développeurs pour partager du code informatique).
Créer de faux sites - Ces fameuses clés sont restées à ciel ouvert pendant deux à quatre années, assure le chercheur. La clé de chiffrement privée utilisée pour des certificats de sécurité s’est ainsi trouvée en libre accès au grand public… « Un attaquant en possession de ces informations pouvait faire beaucoup de dégâts chez DJI, explique Louis Adam sur le site ZDNet. Le certificat de sécurité pouvait permettre de créer de faux sites DJI disposant de la validation HTTPS. Les identifiants AWS (Amazon Web Service, également laissés en accès libre) pouvaient ouvrir la voie à du vol de données, tandis que les clés liées aux firmwares pouvaient être utilisées pour distribuer des mises à jour malveillantes sur le firmware des produits DJI ».
30 000 dollars envolés - Kevin Finsterre dit avoir pris contact avec DJI afin de dresser l’inventaire des failles constatées dans ses logiciels. Les représentants de la firme aux Etats-Unis lui ont fait savoir qu’il était éligible à la récompense la plus élevée, d’un montant de 30 000 dollars, attribuée aux hackers « amicaux », qui révèlent des failles de sécurité aux entreprises. Or, les deux parties ne sont pas parvenues à s’entendre en raison, notamment, de l’accord de confidentialité exigé par DJI. Le chercheur a finalement claqué la porte et décidé de mettre en libre accès un document dans lequel il recense les failles qu’il a relevées. Pour sa part, DJI assure avoir corrigé les défauts constatés et avoir révoqué le certificat accessible sur Github. La société indique aussi avoir sollicité une firme extérieure afin de mettre à plat ses systèmes de sécurité et s’assurer que ce genre de mauvaise surprise ne se reproduira pas. De l’utilité des hackers pour assurer la protection des données…