LEBIGDATA.FR I.A, Cloud & Cybersécurité
Une importante faille de sécurité vient d'être corrigée dans l'infrastructure Cloud du constructeur de drones DJI. Cette vulnérabilité permettait potentiellement à un cybercriminel de s'emparer des photos et vidéos capturées par les drones et d'accéder aux données personnelles de leurs utilisateurs.
Sur le marché des drones grand public, DJI compte parmi les constructeurs les plus populaires. Malheureusement, la popularité n'est pas toujours synonyme de fiabilité.
L'entreprise chinoise vient de corriger une faille dans son infrastructure Cloud qui pouvait potentiellement permettre à des cybercriminels d'accéder aux comptes d'utilisateurs de ses drones. Cette vulnérabilité a été découverte par la firme de cybersécurité Check Point en mars 2018, et DJI a travaillé d'arrache-pied à la patecher depuis lors.
En exploitant cette vulnérabilité, les malandrins pouvaient s'emparer de données privées telles que les photos et vidéos capturées à l'aide des drones. Ils pouvaient aussi accéder aux données personnelles des utilisateurs, et à leurs données de géolocalisation enregistrées dans les logs de vols. Un hacker aurait même pu accéder en temps réel à la localisation d'un drone et au flux vidéo de sa caméra pendant un vol.
Cette faille de sécurité était directement liée aux tokens d'authentification, qui permettent aux utilisateurs de DJI d'alterner entre les différents services Cloud de la firme sans avoir à se reconnecter à leurs comptes à chaque fois. Pour rappel, une faille similaire a permis à un hacker de prendre le contrôle de 50 millions de comptes Facebook fin septembre 2018.
En l'occurrence, le système de tokens de DJI reposait sur une approche Single Sign-On. Cela signifie qu'un token unique fait office de clé pour l'ensemble du compte d'un utilisateur. Or, cette approche permettait de prendre le contrôle d'un compte en exploitant successivement deux bugs distincts.
Drones DJI : une faille de sécurité liée au système d'authentification
Tout d'abord, plusieurs sites web DJI implémentaient le single sign-on OAuth d'une façon qui permettait à un cyberattaquant de requérir facilement des informations sur un utilisateur et son token d'authentification. Il fallait toutefois un cookie spécial pour pouvoir l'utiliser pour prendre le contrôle du compte.
La seconde faille permettait justement à un cybercriminel de diffuser un lien malicieux sur le forum de DJI afin de voler automatiquement le cookie d'authentification d'un utilisateur qui ferait l'erreur de cliquer dessus. En exploitant ces deux failles, il était donc possible d'identifier un utilisateur et de prendre le contrôle de son compte.
Selon DJI, il s'agit d'une faille » hautement risquée, mais peu probable « . Pour cause, il était nécessaire qu'un utilisateur reste connecté sur son compte tout en cliquant sur un lien malicieux pour que son compte soit piraté. D'ailleurs, la firme n'a pas trouvé de preuve que cette faille ait été exploitée ne serait-ce qu'une fois.
Quoi qu'il en soit, l'entreprise prend la sécurité très au sérieux et ne s'est pas contentée de déployer un simple correctif. Elle est allée jusqu'à refondre intégralement certains éléments de son système pour modifier la façon dont les utilisateurs sont authentifiés et renforcer la sécurité en profondeur. Malgré tout, cet incident nous rappelle que les drones recèle de nombreuses informations personnelles et doivent donc être utilisées avec prudence.
- Partager l'article :
