En 2023, une révélation majeure a abouti à une récompense de 30 000 $ de DJI. Une invention révolutionnaire a capté l’attention du monde des drones, promettant des avancées sans précédent dans la technologie aérienne. Découvrez les coulisses de cette découverte qui redéfinit le paysage du secteur.
Une Découverte de Sécurité Voyageant à Travers un Réseau Mondial
Un ingénieur logiciel, Sammy Azdoufal, a récemment reçu une récompense de 30 000 $ de la part de DJI pour avoir mis à jour une vulnérabilité majeure dans l’infrastructure cloud de l’entreprise. Cette vulnérabilité aurait pu exposer des milliers d’appareils, notamment des aspirateurs robots ROMO.
Une Vulnérabilité en Arrière-plan
La faille, rapportée pour la première fois par The Verge, concernait un problème d’autorisation en arrière-plan intégrant le système des aspirateurs ROMO de DJI. Cette faille potentiellement dangereuse aurait permis d’accéder à environ 7 000 appareils dans 24 pays.
Ces appareils n’étaient pas de simples nettoyeurs, mais comprenaient également des caméras, des microphones et des capteurs de cartographie conçus pour naviguer dans les foyers. L’importance de cette vulnérabilité soulève des questions intéressantes sur la sécurité des appareils connectés dans nos maisons.
Un Expérience Très Révélatrice
Tout a commencé avec un projet personnel de Sammy Azdoufal. Il souhaitait contrôler son aspirateur robot ROMO en utilisant un contrôleur PlayStation 5 au lieu de l’application standard sur smartphone. Pour y parvenir, il a commencé à développer une interface de contrôleur personnalisée capable de communiquer avec les systèmes cloud de DJI.
Comme beaucoup d’appareils connectés, l’aspirateur vérifie la propriété à l’aide d’un jeton de sécurité qui authentifie les commandes envoyées depuis l’appareil de l’utilisateur. Dans sa quête, Azdoufal a entrepris de rétroconcevoir le processus utilisé par le système cloud de DJI. En utilisant un outil d’IA pour analyser le système, il a fait des découvertes surprenantes.
Au lieu de limiter l’accès à son propre aspirateur, le processus de validation en arrière-plan offrait des autorisations beaucoup plus larges, ouvrant virtuellement la porte à des milliers d’appareils connectés à la même infrastructure cloud.
Les Données Exposées
Azdoufal a ainsi pu accéder aux données liées aux 7 000 aspirateurs ROMO dans le monde. Ces appareils, étant équipés de caméras et de microphones, auraient également pu exposer des flux vidéo et audio en direct. Ce qui est encore plus alarmant, c’est qu’il a pu générer des plans d’étage 2D des maisons où ces dispositifs opéraient.
De plus, le système révélait même les adresses IP associées aux foyers, ce qui aurait pu faciliter l’identification des emplacements géographiques.
Malgré la gravité de cette découverte, Azdoufal a été transparent et responsable. Plutôt que d’exploiter cette vulnérabilité, il a consigné ses trouvailles et en a informé DJI ainsi que des journalistes, provoquant ainsi un examen approfondi de la situation.
La Réaction de DJI
DJI a présenté un calendrier légèrement différent concernant la découverte et la résolution de cette vulnérabilité. Dans une déclaration, la société a affirmé avoir identifié ce problème d’autorisation d’arrière-plan en janvier lors d’une révision de sécurité interne. Ce problème affectait également certains stations d’alimentation DJI.
Deux chercheurs en sécurité indépendants ont également signalé la même vulnérabilité à travers le programme de récompenses de DJI, contribuant au processus de remédiation. Selon la société, des mises à jour avaient déjà été déployées pour corriger le problème. DJI continue d’affirmer que « la technologie n’est pas statique et doit évoluer en permanence ».
Cette enquête a révélé que l’activité inhabituelle liée à la vulnérabilité était principalement due aux tests effectués par des chercheurs en sécurité, et non à une exploitation malveillante. Le rapport a également précisé qu’aucune donnée utilisateur n’avait été utilisée de manière abusive.
Conséquences de la Découverte
Le fait qu’Azdoufal ait partagé un e-mail de DJI mentionnant une récompense de 30 000 $ pour l’une de ses découvertes a suscité un regain d’intérêt. Bien que DJI ait confirmé la compensation accordée à un chercheur, la société n’a pas clarifié quel élément précis avait entraîné ce paiement. Ce flou laisse certains doutes quant à la récompense et à son intégration dans le programme de récompenses de DJI.
Les programmes de récompenses pour les bogues sont des outils couramment utilisés dans l’industrie technologique pour encourager les chercheurs indépendants à divulguer de manière responsable les vulnérabilités plutôt que de les exploiter. Les entreprises récompensent ensuite les chercheurs en fonction de la gravité du bogue.
Priorité à la Sécurité dans la Stratégie de DJI
DJI a souligné qu’elle avait déjà investi d’importantes ressources dans le renforcement de la sécurité de son écosystème au fil des ans. La société maintient une équipe de sécurité dédiée, effectue des révisions régulières de son architecture et de son code, et réalise des tests d’intrusion de bout en bout pour identifier les vulnérabilités. De plus, DJI suit des pratiques de divulgation coordonnées en déployant des correctifs automatiques, si nécessaire.
La gamme de produits ROMO a déjà obtenu plusieurs certifications de sécurité, telles que ETSI EN 303 645 et les exigences EU RED. Dans l’intérêt continu de la sécurité, DJI prévoit de soumettre ses produits à des audits de sécurité tiers indépendants.
Pour les consommateurs, cette épisode souligne une réalité plus large des technologies pour la maison moderne. Les appareils connectés, comme les aspirateurs robots, dépendent d’une infrastructure cloud, et toute faiblesse dans ce domaine peut engendrer des conséquences considérables. L’incident souligne également l’importance des programmes de récompenses pour les bogues et la nécessité d’une divulgation responsable afin de garantir la sécurité des technologies connectées.
En savoir plus : Pour des informations supplémentaires sur les vulnérabilités de sécurité dans les appareils connectés, consultez CSO Online.
Sommaire :
1. Quelle vulnérabilité a été découverte dans les aspirateurs robots DJI ?
Un ingénieur en logiciel a découvert une faille d’autorisation dans le système des aspirateurs robots ROMO de DJI, permettant potentiellement l’accès à environ 7 000 appareils dans 24 pays.
2. Quels types de données pouvaient être exposés par cette vulnérabilité ?
La vulnérabilité aurait pu donner accès à des flux vidéo en direct, des enregistrements audio, ainsi qu’à des informations de cartographie des maisons nettoyées par les appareils.
3. Comment DJI a-t-il réagi à cette découverte ?
DJI a indiqué que la faille avait été corrigée et que les données des utilisateurs n’avaient apparemment pas été compromises. L’entreprise a également annoncé qu’elle verserait 30 000 $ à l’ingénieur pour sa découverte.
4. Quelles mesures de sécurité prend DJI pour éviter de telles vulnérabilités ?
DJI a investi dans le renforcement de la sécurité de son écosystème, en maintenant une équipe dédiée à la sécurité des produits, en réalisant des tests de pénétration réguliers et en suivant des pratiques de divulgation coordonnées.
