Des chercheurs allemands ont développé un logiciel pour pirater un drone DJI et dérober toutes ses données. Cette opération soulève des questions sur ces modèles utilisés par de nombreuses armées dans le monde, notamment en Ukraine.

Qui dit « connecté », dit « possibilité d’être piraté ». Alors que des flottes de drones commerciaux de la marque chinoise DJI sont transformées en armes de guerre en Ukraine, le média américain Wired publie une recherche intéressante ce 2 mars sur le piratage de ces appareils. Des chercheurs de l’université de la Ruhr à Bochum et du centre Helmholtz de la CISPA ont développé un logiciel depuis un petit outil informatique pour intercepter les communications entre les appareils et leur opérateur. En déconstruisant les signaux radios, ils sont parvenus à récupérer l’identifiant du modèle, sa localisation GPS et les coordonnées du pilote. Ils ont publié leur recherche et ont mis en ligne le processus sur GitHub.

L’opération est notamment possible grâce au protocole Drone ID. Ce système a été conçu pour permettre aux forces de l’ordre de surveiller les drones et d’empêcher leur utilisation abusive. Or, les hackers éthiques et les chercheurs en sécurité ont averti l’année dernière que ce protocole n’est pas chiffré et qu’il est accessible pour n’importe quel spécialiste qui voudrait recevoir ces signaux radio.

L’autre souci de sécurité concerne Aéroscope, un logiciel fourni par DJI permettant au propriétaire du produit de localiser n’importe quel autres modèles de l’entreprise, sur les 50 km aux alentours. Là aussi, le groupe chinois a préféré éviter le chiffrement pour mieux retracer l’activité de ses produits.

L'écran pour surveiller depuis un drone Black Hornet // Source : Teledyne Flir
Un écran pour surveiller le pilotage d’un drone militaire // Source : Teledyne Flir

Une marque utilisée en France ou au Royaume-Uni

Bien que les chercheurs allemands aient testé l’interception de signal à une hauteur de 7 mètres environ, ils estiment que l’opération peut être optimisée pour une plus haute altitude. Wired cite un autre spécialiste en cybersécurité, Conner Bender de l’Université de Tulsa, qui a testé avec succès la récupération du DroneID à près d’une centaine de mètres.

Il faut rappeler que ces recherches restent expérimentales et sont réalisées dans des contextes particuliers. Néanmoins, elles permettent d’imaginer les risques de l’utilisation de ces drones en zone de guerre. Des milliers de modèles DJI sont utilisés en ce moment par les armées ukrainiennes et russes. D’autres forces militaires s’en servent pour la formation de pilotage de drones sur les bases aériennes en Europe, notamment en France ou au Royaume-Uni.


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !