Ces failles de sécurité permettraient à des hackers d’accéder aux comptes des utilisateurs des drones de la marque DJI
San Carlos, Californie – le 8 novembre 2018. Les équipes de chercheurs de Check Point® Software Technologies Ltd., l’un des principaux fournisseurs de solutions de cybersécurité dans le monde, et DJI, le leader mondial des drones civils et de la technologie d’imagerie aérienne, communiquent aujourd’hui les détails d’une vulnérabilité potentielle qui aurait pu affecter l’infrastructure de DJI si elle avait été exploitée.
Dans un rapport publié conformément au programme de Bug Bounty de DJI, Check Point Research met en lumière le processus par lequel un pirate peut accéder à un compte utilisateur, via une faille découverte dans le processus d’identification du forum DJI. Les chercheurs de Check Point ont découvert que les plates-formes DJI utilisaient un jeton afin d’identifier les utilisateurs enregistrés tout au long des différents aspects de l’expérience client. Ces derniers devenaient alors des cibles de choix pour les hackers, sans cesse à la recherche de nouveaux moyens d’accéder aux comptes utilisateurs.
Les utilisateurs DJI ayant synchronisé leurs enregistrements de vol, photos, vidéos ou encore journaux de vol dans les serveurs Cloud de DJI, ainsi que les entreprises utilisant le logiciel DJI FlightHub, qui offre un live en temps-réel ainsi qu’une map, auraient pu être vulnérables. Cette faille a depuis été corrigée, et rien n’indique à ce jour qu’elle ait été exploitée.
« Nous saluons l’expertise des chercheurs de Check Point qui ont su dévoiler de manière responsable une vulnérabilité potentiellement critique », déclare Mario Rebello, vice-président et directeur général Amérique du Nord chez DJI. « C’est précisément la raison pour laquelle DJI a mis en place son programme de Bug Bounty. Toutes les entreprises technologiques comprennent que le renforcement de la cybersécurité est un processus continu, qui ne s’arrête jamais. La protection de l’intégralité des informations de nos utilisateurs est une priorité absolue pour DJI et nous nous engageons à poursuivre notre collaboration avec des chercheurs en cyber-sécurité, tels que ceux de Check Point. »
« Compte tenu de la popularité des drones DJI, il est important que des vulnérabilités potentiellement critiques comme celle-ci soient traitées rapidement et efficacement », précise Oded Vanunu, Head of Products Vulnerability Research chez Check Point. « Nous félicitons DJI de l’avoir rapidement corrigée. Suite à cette découverte, il est important que les entreprises comprennent que l’exposition d’informations sensibles sur une seule plate-forme peut suffire à compromettre la totalité de l’infrastructure. »
Les ingénieurs de DJI ont examiné le rapport communiqué par Check Point et, conformément à la politique de son programme Bug Bounty, l’ont qualifié de risque élevé/faible probabilité, dans la mesure où un ensemble de conditions préalables doivent être remplies avant qu’un pirate puisse l’exploiter. Les clients DJI doivent s’assurer de toujours utiliser la version la plus récente des applications de pilotage DJI GO et GO 4.
Check Point et DJI conseillent à tous les utilisateurs de rester vigilants lorsqu’ils communiquent des informations via des outils numériques. Il est important de toujours veiller à respecter de bonnes pratiques de cybersécurité lors d’échanges en ligne avec des tiers, et de remettre en cause la légitimité des liens vers des informations consultées sur des forums utilisateurs et des sites web.
Une analyse technique complète de cette vulnérabilité est disponible sur le blog de Check Point Research.
Suivez Check Point sur
Twitter : http://www.twitter.com/checkpointsw
Facebook : https://www.facebook.com/checkpointsoftware
Blog : http://blog.checkpoint.com
YouTube : http://www.youtube.com/user/CPGlobal
LinkedIn : https://www.linkedin.com/company/check-point-software-technologies
À propos de DJI
DJI, leader mondial des drones civils et de la technologie d’imagerie aérienne, a été fondé et est dirigé par des passionnés d’hélicoptères télécommandés et des experts en technologie de pilotage et de stabilisation des caméras. L’entreprise a pour objectif de rendre les équipements et les plateformes de photographie aérienne et de réalisation de films plus accessibles, plus fiables et plus faciles à utiliser pour les créateurs et les innovateurs du monde entier. DJI opère actuellement à l’international sur le continent américain, en Europe et en Asie. Ses produits et solutions révolutionnaires ont été choisis par des clients dans plus de 100 pays pour des applications dans la réalisation de films, la construction, l’inspection, les interventions d’urgence, l’agriculture, la conservation et d’autres secteurs.
Pour tout complément d‘information, rendez-vous sur :
Site web : www.dji.com
Boutique en ligne : store.dji.com/
Facebook : www.facebook.com/DJI
Instagram : www.instagram.com/DJIGlobal
Twitter : www.twitter.com/DJIGlobal
LinkedIn : www.linkedin.com/company/dji
À propos de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) est l’un des principaux fournisseurs de solutions de cybersécurité pour les gouvernements et les entreprises dans le monde. Ses solutions protègent les clients des cyberattaques grâce à un taux de blocage inégalé des logiciels malveillants, des logiciels rançonneurs et autres types d’attaques. Check Point propose une architecture de sécurité complète à plusieurs niveaux qui défend les données des entreprises sur leurs réseaux, leurs Clouds et leurs appareils mobiles, ainsi que le système d’administration unifiée de la sécurité le plus complet et le plus intuitif. Check Point protège plus de 100 000 entreprises de toute taille.
Check Point Alps (Suisse et Autriche) est domiciliée à Zurich puis Vienne et emploie plus de 40 collaborateurs.
Contacts Presse
Check Point Software Technologies (Switzerland) AG
Sonja Meindl
Tél: +41 44 316 64 44
E-Mail: smeindl@checkpoint.com
Jenni Kommunikation
Sylvana Zimmermann
Tél: +41 44 388 60 80
E-Mail: sylvana.zimmermann@jeko.com