Des drones Parrot piratables en Wi-Fi

Inscrit le 13/08/2002
26334 messages publiés
Envoyer un message privé
Guillaume Champeau , sujet ouvert le 17/08/2015 à 16:50



Les drones étant devenus le cadeau à la mode du dernier Noël, il était logique que les hackers s'intéressent de près à leur sécurité. Ars Technica rapporte ainsi que deux présentations distinctes ont été faites il y a quelques jours au dernier Def Con de Las Vegas, qui montrent que des drones Parrot peuvent être piratés, à condition toutefois de se trouver suffisamment proches d'eux pour s'y connecter en direct.

La première présentation a été réalisée par Ryan Satterfield, de Planet Zuda. Il a montré qu'il était capable de saboter le vol d'un drone Parrot AR.Drone en profitant d'une faille dans l'implémentation du système d'exploitation open-source BusyBox. Parrot a laissé un port Telnet ouvert, ce qui permet d'envoyer des commandes pour tuer le processus qui contrôle le vol du drone. Le réseau Wi-Fi du drone étant ouvert, n'importe qui se trouvant à proximité géographique du drone peut y accéder et envoyer la commande.

La deuxième présentation réalisée par l'universitaire Michael Robinson consiste également à profiter du fait que le réseau Wi-Fi ad-hoc du drone ne demande aucune authentification lors de la connexion, pour en prendre le contrôle. Cette fois-ci il s'est attaqué au drone Bebop, le modèle haut de gamme du constructeur. Comme le dit la fiche officielle du produit, "le Parrot Bebop Drone embarque 2 antennes bi-bandes Wi-Fi lui permettant de gérer les deux fréquences 2.4 GHz et 5 GHz en MIMO", et "il génère son propre réseau aux dernières normes Wi-FI 802.11". Le premier connecté depuis l'application mobile est le maître de l'appareil. L'attaque de Michael Robinson consistait donc à forcer la déconnexion entre le pilote et le drone, pour immédiatement se connecter sur le réseau Wi-fi ouvert, et devenir le pilote en charge du drone.

Il devient ainsi possible de dérober un drone en éjectant le pilote. Robinson prévient cependant les voleurs potentiels que l'application mobile conçue par Parrot garde trace de toutes les connexions, avec les numéros de série des drones pilotés, ce qui permet éventuellement aux propriétaires de retrouver qui contrôle le drone volé.

Par ailleurs Robinson note que les fichiers vidéos ou les photographies prises à partir du Parrot Bebop sont partagées sur un serveur FTP lui aussi accessible depuis le réseau Wifi public, ce qui permet à n'importe qui de se connecter pour télécharger les images.

D'autres failles concernant le "retour à la maison" par GPS ont par ailleurs été démontrées, avec l'usage d'un brouilleur de signaux GPS, théoriquement interdit.


Lire la suite
6 réponses
Inscrit le 20/02/2015
1049 messages publiés
Ça risque de devenir rock & roll  
Inscrit le 13/08/2002
7488 messages publiés
Ouep 

a ce titre on notera que l'armée française a officiellement annoncé qu'un service de lutte et de contre-mesure voyait le jour. Ce qui montra bien tout le sérieux de la dangerosité de tous ces apareils
Inscrit le 03/10/2011
9233 messages publiés
"Il devient ainsi possible de dérober  un drone en éjectant le pilote."
Et en collant une balle dans la tête du pilote pour lui prendre son mobile, ça marche aussi.
Inscrit le 10/07/2008
4585 messages publiés
l'application mobile conçue par Parrot garde trace de toutes les connexions, avec les numéros de série des drones pilotés, ce qui permet éventuellement aux propriétaires de retrouver qui contrôle le drone volé.

La fonction "effacer" a disparu des mobiles?
Inscrit le 11/04/2008
784 messages publiés
Possesseur d'une smart tablet bluetooth  Parrot archi buggée, je ne suis pas étonné par cette news. Parrot a l'habitude de produire des produits certes d’avant garde, mais toujours mal ficelés car la fiabilité de leurs softs laissant toujours à désirer.
Inscrit le 16/06/2009
451 messages publiés
ben en fait, moi je trouve plutot ça cool, c'est des box linux à hélice, on peut aussi les hacker pour faire tout un tas de truc, c'est marrant

Tous les champs doivent être remplis.

OU

Tous les champs doivent être remplis.

FORUMS DE NUMERAMA
Poser une question / Créer un sujet
vous pouvez aussi répondre ;-)
Numerama sur les réseaux sociaux