[DRONES] Une faille de sécurité des drones DJI impactait directement les données des utilisateurs

En mars 2018, des chercheurs en sécurité de l’entreprise israélienne Check Point ont identifié une faille de sécurité au niveau du système d’authentification du Cloud et plus précisément des tokens d’authentification. Ce système se basait sur une approche dite « Single-Sign On ». Autrement dit, un unique token ouvrait l’accès à l’ensemble du compte d’un utilisateur de drones DJI. Seulement voilà, un attaquant pouvait obtenir ce token soit via un lien malicieux déposé sur le forum DJI, soit via des requêtes sur les sites web de l’entreprise asiatique. L’exploitation de cette faille aurait permis à un attaquant de se procurer les données des utilisateurs mais aussi les photos et vidéos prises à l’aide des drones DJI. Les chercheurs ont informé la société chinoise de leur découverte. Celle-ci a ainsi pu patcher la vulnérabilité avant qu’elle ne soit dévoilée. Selon les enquêtes menées à ce jour, cette faille de sécurité n’aurait pas été exploitée et les données des utilisateurs de drones DJI ne seraient donc pas en danger. Il n’empêche que cette affaire démontre une fois de plus que les fabricants d’objets connectés en tout genre doivent faire davantage pour leur sécurité. Très populaires, les drones DJI ont vu leur réputation ainsi discréditée.