Sky wars: l’attaque des drones
Une faille dans l’identification des utilisateurs aux multiples plateformes du leader mondial des drones Dji a été révélée par Check Point, entreprise spécialisée en cybersécurité.
Une armée de drones, hackés, volant aux quatre coins du monde pour aller espionner les entreprises, voire les individus. C’est le scénario catastrophe dépeint par l’entreprise Check Point, qui a rendu publique une faille permettant de prendre le contrôle des données recueillies par les engins volants vendus par Dji, leader mondial sur le marché des drones grand public.
En mars dernier, des chercheurs travaillant chez le spécialiste israélien de la cybersécurité ont en effet averti le constructeur chinois de la faiblesse du système d’identification utilisé pour sa plateforme web, ses applications mobiles et l’outil de gestion de flottes de drones Flighthub. Les employés de checkpoint se sont d’abord rendus compte que pour un utilisateur donné, Dji utilisait toujours le même jeton d’identification pour ces trois plateformes. Grâce à une attaque dite de cross-site scripting (XSS) placée sur le forum du droniste grâce à un simple lien, les experts ont pu «voler la session» de certains utilisateurs en récupérant leur jeton d’identification à travers leurs cookies.
Ils pouvaient alors se connecter à la place des clients abusés tant sur la plateforme web que sur l’appli ou le gestionnaire de flotte.
Tout leur était alors accessible: historiques des vols et photos prises par les drones, informations sur le profil utilisateur et sa carte de crédit, images et sons enregistrés par l’engin en temps réel et emplacement du pilote.
Contacté par le média américain Security Week, Dji a assuré avoir patché la faille le 28 septembre dernier et dit n’avoir aucune preuve qu’elle ait été exploitée.
