Après qu'une équipe de sécurité informatique ait averti DJI d'une importante faille sur ses drones, l'entreprise chinoise a annoncé l'avoir corrigé en septembre dernier.
En mars dernier, Check Point Research, une agence de sécurité informatique, a notifié DJI, leader mondial de la vente de drones, d'une importante vulnérabilité dans ses serveurs cloud. Concrètement, des hackers étaient en mesure de récupérer simplement le flux vidéo des drones impactés, ainsi que quantité d'informations personnelles sur leurs détenteurs.
Une faille existante, mais jamais utilisée selon DJI
Dans son compte-rendu, Check Point Research indique avoir reçu la confirmation de DJI que la faille avait été colmatée, et qu'aucun élément ne laissait entendre que la vulnérabilité ait été utilisée à des fins malveillantes.À l'instar du piratage de 30 millions de comptes Facebook en octobre dernier, la vulnérabilité dans les serveurs DJI autorisait les hackers à s'approprier les tokens de connexion aux comptes utilisateur afin d'accéder aux fonctionnalités des drones qui y sont liés.
Schéma explicatif de la faille sur les serveurs DJI. © Check Point Research
Entre la commodité de l'utilisation d'un token de connexion, et le renforcement des mesures de sécurité, les entreprises du Web mondial vont devoir accorder leurs violons s'ils ne veulent pas voir les données de leurs clients exposées à des piratages de grande ampleur.
