De multiples vulnérabilités ont été découvertes dans plusieurs modèles de drones DJI populaires qui peuvent être exploitées pour planter un drone en plein vol ou même pour trouver l’emplacement exact du pilote d’un drone.
En plus d’être l’un des meilleurs drones disponibles aujourd’hui, les drones de DJI sont également très populaires puisque la société les fabrique depuis 2013. Cependant, un total de 16 vulnérabilités différentes ont été découvertes dans plusieurs drones DJI par une équipe dirigée par Nico Schiller de l’Institut Horst Görtz pour la sécurité informatique de la Ruhr. l’Université de Bochum en Allemagne qui a publié un papier blanc (s’ouvre dans un nouvel onglet) (PDF) sur le sujet.
Au cours de leurs tests, les chercheurs en sécurité ont examiné le DJI Mini 2le DJI Air 2 et le DJI Mavic 2. Heureusement, les chercheurs ont alerté DJI sur les vulnérabilités qui ont toutes été corrigées au moment de la rédaction.
Fuzzing pour les vulnérabilités
Selon un article de blog (s’ouvre dans un nouvel onglet) depuis Bitdefender, Schiller et les autres chercheurs ont utilisé une technique appelée « fuzzing » pour rechercher les vulnérabilités des drones de DJI. Cette technique est très populaire parmi les chercheurs en sécurité et consiste à fournir des types d’entrée aléatoires pour découvrir des moyens d’interférer avec la fonctionnalité d’un appareil.
Les chercheurs ont créé un algorithme dédié à utiliser lors du fuzzing des drones de DJI et, ce faisant, ils ont trouvé des failles critiques dans leur micrologiciel qui leur permettent «d’obtenir des privilèges élevés sur deux drones DJI différents et leurs télécommandes», selon CyberActualités (s’ouvre dans un nouvel onglet). Ces vulnérabilités ont également permis de planter un drone DJI dans les airs et 14 des failles peuvent être déclenchées à distance à l’aide du smartphone d’un pilote.
Afin de garder un œil sur ses drones pendant leur fonctionnement, DJI a développé un protocole de suivi appelé DroneID qui est utilisé pour transmettre la position d’un drone et de son pilote aux forces de l’ordre et à ceux qui exploitent des infrastructures critiques comme les aéroports. Au cours de leur enquête, les chercheurs ont découvert que les données envoyées par les drones de l’entreprise n’étaient pas cryptées, ce qui signifie qu’elles étaient accessibles à tous. En exploitant cela, un attaquant pourrait déterminer l’emplacement exact d’un drone et de son pilote.
De même, un attaquant peut également modifier le numéro de série ou les données de journal d’un drone DJI vulnérable pour dissimuler son identité. Cela pourrait également leur permettre de survoler les aéroports et autres zones réglementées.
Comment mettre à jour votre drone DJI
Si vous possédez un drone DJI, vous devez mettre à jour le firmware immédiatement car la société a corrigé les 16 vulnérabilités.
Il y a deux manières de le faire : par le Application DJI Fly (s’ouvre dans un nouvel onglet) ou en utilisant Assistant DJI 2 (s’ouvre dans un nouvel onglet). La première méthode nécessite un smartphone avec l’application DJI Fly installée, tandis que la seconde consiste à connecter votre drone à un ordinateur. Quelle que soit la méthode que vous choisissez, vous voulez vous assurer que votre batterie est chargée à 50 % ou plus avant de commencer.
Si vous utilisez l’application DJI Fly, une alerte de mise à jour du micrologiciel apparaîtra dans l’application. Suivez les invites et autorisez l’application à télécharger et à installer le nouveau micrologiciel, ce qui prend généralement environ 10 minutes. Avec DJI Assistant 2, vous devez connecter votre drone à un ordinateur et lancer l’application DJI Assistant 2. Une fois votre drone connecté à l’application, une page d’historique du micrologiciel apparaîtra. Sélectionnez Mettre à jour dans le coin supérieur droit pour commencer à télécharger et à installer le dernier micrologiciel.
Tout comme avec votre smartphone et votre ordinateur, il est très important de maintenir votre drone à jour et d’exécuter le dernier logiciel. Alors que les corrections de bogues sont souvent fournies via des mises à jour du micrologiciel, il en va de même pour les améliorations de performances qui peuvent améliorer la façon dont votre drone vole et gère.