Les équipes de chercheurs de Check Point® Software Technologies Ltd., l'un des principaux fournisseurs de solutions de cybersécurité dans le monde, et DJI, le leader mondial des drones civils et de la technologie d’imagerie aérienne, communique aujourd’hui les détails d’une vulnérabilité potentielle qui aurait pu affecter l’infrastructure de DJI si elle avait été exploitée.

Dans un rapport publié conformément au programme de Bug Bounty de DJI, Check Point Research met en lumière le processus par lequel un pirate peut accéder à un compte utilisateur, via une faille découverte dans le processus d'identification du forum DJI. Les chercheurs de Check Point ont découvert que les plates-formes DJI utilisaient un jeton afin d’identifier les utilisateurs enregistrés tout au long des différents aspects de l'expérience client. Ces derniers devenaient alors des cibles de choix pour les hackers, sans cesse à la recherche de nouveaux moyens d'accéder aux comptes utilisateurs.

Les utilisateurs DJI ayant synchronisé leurs enregistrements de vol, photos, vidéos ou encore journaux de vol dans les serveurs Cloud de DJI, ainsi que les entreprises utilisant le logiciel DJI FlightHub, qui offre un live en temps-réel ainsi qu’une map, auraient pu être vulnérables. Cette faille a depuis été corrigée, et rien n’indique à ce jour qu’elle ait été exploitée.

« Nous saluons l'expertise des chercheurs de Check Point qui ont su dévoiler de manière responsable une vulnérabilité potentiellement critique », déclare Mario Rebello, vice-président et directeur général Amérique du Nord chez DJI. « C’est précisément la raison pour laquelle DJI a mis en place son programme de Bug Bounty. Toutes les entreprises technologiques comprennent que le renforcement de la cybersécurité est un processus continu, qui ne s’arrête jamais. La protection de l’intégralité des informations de nos utilisateurs est une priorité absolue pour DJI et nous nous engageons à poursuivre notre collaboration avec des chercheurs en cyber-sécurité, tels que ceux de Check Point. »

« Compte tenu de la popularité des drones DJI, il est important que des vulnérabilités potentiellement critiques comme celle-ci soient traitées rapidement et efficacement », précise Oded Vanunu, Head of Products Vulnerability Research chez Check Point. « Nous félicitons DJI de l’avoir rapidement corrigée. Suite à cette découverte, il est important que les entreprises comprennent que l’exposition d’informations sensibles sur une seule plate-forme peut suffir à compromettre la totalité de l'infrastructure. »

Les ingénieurs de DJI ont examiné le rapport communiqué par Check Point et, conformément à la politique de son programme Bug Bounty, l'ont qualifié de risque élevé/faible probabilité, dans la mesure où un ensemble de conditions préalables doivent être remplies avant qu'un pirate puisse l'exploiter. Les clients DJI doivent s’assurer de toujours utiliser la version la plus récente des applications de pilotage DJI GO et GO 4.

Check Point et DJI conseillent à tous les utilisateurs de rester vigilants lorsqu’ils communiquent des informations via des outils numériques. Il est important de toujours veiller à respecter de bonnes pratiques de cybersécurité lors d’échanges en ligne avec des tiers, et de remettre en cause la légitimité des liens vers des informations consultées sur des forums utilisateurs et des sites web.

Une analyse technique complète de cette vulnérabilité est disponible sur le blog de Check PointResearch.

 

Communiqué par Check Point


Publié le 09 novembre 2018