Danny Weber
L’audit de sécurité des drones DJI Air 3S et Matrice 4E par OnDefend n’a révélé aucun problème critique. Dix failles mineures seront corrigées. DJI contre les restrictions FCC.
DJI a publié les résultats d'un audit de sécurité indépendant mené par la société américaine OnDefend. Pendant cinq mois, les experts ont analysé le drone grand public DJI Air 3S et le modèle professionnel Matrice 4E. Aucun problème critique, élevé ou moyen n'a été détecté. L'audit n'a pas non plus révélé de portes dérobées, de logiciels malveillants, de transmission de données hors des États-Unis, ni de tentatives de piratage réussies.
Cet audit survient alors que DJI est en conflit ouvert avec les régulateurs américains. L'entreprise conteste une décision de la FCC qui empêche de fait la certification de nouveaux drones étrangers pour le marché américain. DJI estime qu'elle pourrait perdre environ 1,56 milliard de dollars par an à cause de ces restrictions, et certains produits prévus pourraient ne jamais arriver aux États-Unis.
OnDefend a examiné les drones sous plusieurs angles : logiciel, firmware, matériel et canaux radio. L'équipe a mené des simulations d'attaques de type man-in-the-middle, démonté physiquement les appareils et analysé leurs composants. Précisons que la société a acheté les unités de test de manière indépendante : l'Air 3S dans le commerce et la Matrice 4E auprès d'un revendeur, sans que DJI n'intervienne dans le choix des appareils.
Cependant, l'audit n'était pas parfait. Les experts ont décelé dix failles de sécurité de faible importance, notamment des protocoles TLS faibles dans l'application compagnon et des jetons d'authentification dans les URL. OnDefend a qualifié ces problèmes de typiques pour des systèmes embarqués complexes, et DJI a indiqué les corriger via des mises à jour du firmware. Les auditeurs ont souligné que ce contrôle ne reflète que l'état de ces deux modèles à un moment donné et ne remplace pas les tests continus des futures mises à jour.
Le choix d'OnDefend n'est pas anodin. La même société avait déjà été nommée inspecteur de sécurité indépendant pour TikTok aux États-Unis. Elle a donc audité deux entreprises technologiques chinoises sous la pression des autorités américaines pour des raisons de sécurité nationale. Cependant, l'audit de DJI a été commandé et payé par l'entreprise elle-même, ce qui le distingue d'un examen complet sous supervision fédérale.
Pour DJI, ces résultats d'audit constituent un argument contre les restrictions, mais ils ne suffiront probablement pas à dissiper les questions politiques et réglementaires. L'entreprise a déjà plaidé devant les tribunaux que les actions de la FCC violent la Constitution américaine. Dans des documents déposés en avril, elle a signalé la révocation des permis pour 14 produits existants et l'impossibilité de lancer 25 appareils prévus. Dans ce contexte, les exportations de drones civils de la Chine vers les États-Unis ont déjà chuté de 60 à 70 % sur un an depuis décembre, selon Nikkei Asia.
© A. Krivonosov