Ces derniers temps, les voitures de dernière génération sont régulièrement l'objet de piratages. La démonstration d'une prise de contrôle réalisée entièrement à distance a amené Jeep à rappeler plus d'un million de voitures. Puis dans le cadre de la dernière conférence Def Con 23, Tesla a comblé, par internet, une faille permettant de contrôler l'intégralité du système d'info-divertissement de sa fameuse voiture électrique.
Mais les voitures connectées ne sont pas les seuls véhicules vulnérables. Lors de la même conférence dédiée à la sécurité, d'autres chercheurs ont procédé à une démonstration de piratage d'un drone de la marque française Parrot.
La première des deux failles présentées permet à un attaquant de déconnecter le pilote d'un Bebop en vol, afin d'en prendre le contrôle et de le détourner et/ou de le subtiliser. La seconde permet de couper l'ordinateur de bord du même modèle et d'en provoquer le crash. Dans certains cas il tombe à pic, dans d'autres il se projette aléatoirement jusqu'à l'impact.
Le problème est que les drones Parrot sont télécommandés par le biais d'une connexion Wi-Fi ouverte, non chiffrée, et sans qu'aucune authentification ne soit nécessaire. Ce qui rend triviale la déconnexion de l'utilisateur connecté, au moyen d'une attaque propre au Wi-Fi, puis la connexion d'un autre utilisateur avec l'application officielle. Puis l'ordinateur Linux sur lequel repose le drone est aisément accessible par le biais d'un terminal distant Telnet et d'un serveur FTP, tous deux ouverts. De quoi récupérer les photos et vidéos réalisées, ou pire, de quoi tuer le processus qui gère le vol.
Contacté par le site internet Ars Technica, Parrot a répondu qu'il avait connaissance de ces failles, mais n'a pas précisé s'il avait l'intention de les combler. Nous avons contacté le fabricant à notre tour et attendons un retour.
Contenus relatifs
